Janne Yli-Korhonen
23. huhtikuuta, 2021 17:17
Tietoturvayhtiö Check Point Software Technologiesin tutkijat varoittavat kasvavasta kyberuhasta, jossa hakkerit käyttävät Telegram-viestipalvelua haittaohjelmien etäjakelukeskuksena.
Telegramia käytetään etähyökkäyksissä, sillä se on laillinen ja helppokäyttöinen palvelu, eikä sitä ole estetty esimerkiksi yrityksen virustorjuntaohjelmien toimesta. Telegramin avulla hyökkääjät pysyvät anonyyminä ja hyökkääjillä on mahdollisuus päästä käsiksi uhrin tietokoneeseen mobiililaitteen kautta lähes mistä tahansa sijainnista maailmanlaajuisesti. Lisäksi kiinnostusta lisää Telegramin käyttäjämäärät, sillä Telegram ylitti 500 miljoonan aktiivisen käyttäjän rajan tämän vuoden alussa.
Check Pointin tutkijat onnistuivat jäljittämään viimeisen kolmen kuukauden aikana yli 130 kyberhyökkäystä, joissa käytettiin Telegramin avulla ohjattua haittaohjelmaa. Näissä hyökkäyksissä käytettiin uutta monitoimista ja etäkäyttöistä troijalaista nimeltä 'ToxicEye'.
Hyökkäys aloitetaan luomalla Telegram-tili ja erillinen Telegram-botti. Botti upotetaan osaksi ToxicEye-etäkäyttötroijalaisen määritystiedostoa.
Troijalaista levitetään sähköpostiliitteiden avulla. Jos käyttäjä avaa littteen, ToxicEye asentaa itsensä tietokoneelle. Telegram-botti puolestaan yhdistää uhrin laitteen hyökkääjän palvelimelle Telegramin kautta.
Hyökkääjä voi sitten hallita troijalaista, joka kykenee varastamaan koneelta dataa, poistamaan tiedostoja, sulkemaan tietokoneen toimintoja, kaappaamaan tietokoneen mikrofonin ja kameran sekä salaamaan tiedostoja lunnaita varten.