اكتشف باحثو الأمن أن شعبية Telegram كمنصة رسائل مشفرة من طرف إلى طرف قد جعلتها أيضًا شائعة لدى الجهات الفاعلة في مجال التهديد.
في تقرير جديد ، أوضح Omer Hofman من شركة الأمن السيبراني Check Point أن مؤلفي البرمجيات الخبيثة malware يستخدمون بشكل متزايد Telegram كنظام قيادة وتحكم command and control (C&C) جاهز لأنشطتهم الضارة ، نظرًا لأنه يوفر العديد من المزايا مقارنة بإدارة البرامج الضارة التقليدية على شبكة الإنترنت .
ومن المثير للاهتمام ، أن Telegram ليست أداة التشفير الوحيدة التي تم إعادة توظيفها من قبل الجهات المهددة.
كشف بحث أجرته Sophos مؤخرًا أن مشغلي البرامج الضارة يتحولون بشكل متزايد إلى بروتوكولات الاتصالات المشفرة بالإضافة إلى الخدمات السحابية المشروعة لتجنب الاكتشاف.
الفوائد التشغيلية
يشير هوفمان في تحليله إلى أنه تم استخدام Telegram لأول مرة كخادم C&C للبرامج الضارة في عام 2017 ، من قبل مشغلي سلسلة Masad. يقال إن هذه المجموعة كانت أول من أدرك فوائد استخدام خدمة الرسائل الفورية الشائعة كجزء لا يتجزأ من الهجمات.
منذ ذلك الحين ، كما يقول هوفمان ، اكتشف الباحثون العشرات من سلالات البرامج الضارة التي تستخدم Telegram للمساعدة في أنشطتها الضارة.
والمثير للدهشة أن هذه الأشياء مقدمة في حالة جاهزة للتسليح ويتم إخفاؤها على مرأى من الجميع في مستودعات GitHub العامة.
على مدار الأشهر الثلاثة الماضية ، لاحظت Check Point أكثر من مائة هجوم تستخدم طروادة جديد متعدد الوظائف للوصول عن بعد (RAT) يسمى ToxicEye ، ينتشر عبر رسائل البريد الإلكتروني المخادعة التي تحتوي على ملف تنفيذي ضار.
تتم إدارة ToxicEye أيضًا بواسطة مهاجمين عبر Telegram ، والذي يستخدمه للتواصل مع خادم القيادة والتحكم وسحب البيانات المسروقة.
يكشف تحليل هوفمان لـ ToxicEye أن مؤلفيه قاموا بتضمين روبوت Telegram في ملف التكوين الخاص به. بمجرد إصابة الضحية ، يساعد الروبوت في توصيل جهاز المستخدم مرة أخرى بـ C & C الخاص بالمهاجم عبر Telegram.
لوحظ أن الروبوت يقوم بسرقة البيانات ، ونشر keylogger ، وتسجيل الصوت والفيديو ، ويمكن حتى جعله يعمل مثل برامج الفدية ، وتشفير الملفات على جهاز الضحية.
بشكل مقلق ، يلاحظ هوفمان أن استخدام Telegram لمثل هذه الأغراض الخبيثة malicious سوف سينمو اكثر.
ويستنتج إلى أنه
نظرًا لإمكانية استخدام Telegram لتوزيع الملفات الضارة ، أو كقناة قيادة وتحكم للبرامج الضارة التي يتم التحكم فيها عن بُعد ، فإننا نتوقع تمامًا استمرار تطوير الأدوات الإضافية التي تستغل هذه المنصة في المستقبل.