{"id":252417,"date":"2021-04-24T01:21:57","date_gmt":"2021-04-23T23:21:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252417"},"modified":"2023-04-12T03:09:11","modified_gmt":"2023-04-12T01:09:11","slug":"hacker-verbreiten-malware-ber-telegram","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/24\/hacker-verbreiten-malware-ber-telegram\/","title":{"rendered":"Hacker verbreiten Malware f\u00fcr Telegram"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/04\/24\/hacker-verbreiten-malware-ber-telegram\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsexperten von Check Point Research warnen vor neuer Kampagne, die Millionen von Nutzern bedroht. Die Angreifer k\u00f6nnen \u00fcber Telegram verseuchte Dateien auf Computern installieren und diese Programme dann remote steuern. Hier einige Informationen, die ich von Check Point direkt erhalten habe.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/d19345290e814142bfb339f2794ce776\" alt=\"\" width=\"1\" height=\"1\" \/>Check Point Research (CPR) ist Cyber-Kriminellen auf die Schliche gekommen, die den Nachrichtendienst <em>Telegram<\/em> als Remote Malware Distribution Center missbrauchen. Die Hacker verstecken die Malware hinter E-Mail-Anh\u00e4ngen, um Computer zu infizieren. Voraus ging der Erkenntnis, dass CPR innerhalb der letzten drei Monate \u00fcber 130 Cyber-Attacken von einem Remote Access Trojaner (RAT) namens <em>ToxicEye<\/em> beobachtete, die von den Akteuren \u00fcber <em>Telegram<\/em> koordiniert wurden. <em>Telegram<\/em> z\u00e4hlt weltweit \u00fcber 500 Millionen aktive Nutzer und geh\u00f6rt zu den zehn am h\u00e4ufigsten heruntergeladenen Apps weltweit.<\/p>\n<h2>Ausgebuffter Angriffsweg<\/h2>\n<p>Der Angriffsweg sieht so aus, dass die Hacker ein Telegram-Konto erstellen und einen speziellen Telegram-Bot aufsetzen. Dies ist ein ferngesteuertes Konto, mit dem die Nutzer \u00fcber den Telegram-Chat interagieren k\u00f6nnen, oder \u00fcber Gruppen, oder \u00fcber das Input-Feld, wenn sie den Namen des Bots und die Anfrage eingeben.<\/p>\n<p><img decoding=\"async\" title=\"Telegram-Hack\" src=\"https:\/\/i.imgur.com\/Wi9XDyL.png\" alt=\"Telegram-Hack\" \/><br \/>\nTelegram-Hack, Quelle: Check Point<\/p>\n<p>In einem zweiten Schritt wird der Anmelde-Token des Bots mit einer Malware kombiniert. In einem dritten Schritt verbreiten die Cyber-Kriminellen die Malware wird als Anhang \u00fcber eine Spam-E-Mail. Ein gefundenes Beispiel nannte sich <em>paypal checker by saint.exe<\/em>.<\/p>\n<p>\u00d6ffnet das Opfer den sch\u00e4dlichen Anhang, verbindet sich der sich dann mit <em>Telegram<\/em>. Von nun an kann jeder, dessen Computer durch die Malware verseucht wurde, von dem <em>Telegram<\/em>-Bot der Hacker attackiert werden \u2013 gleichg\u00fcltig, ob <em>Telegram<\/em> \u00fcberhaupt installiert ist. Die Malware verbindet schlicht das Ger\u00e4t des Nutzers mit dem Command-and-Control-Server der Angreifer \u00fcber <em>Telegram<\/em>.<\/p>\n<p>Besitzt der Hacker die Kontrolle \u00fcber das Ger\u00e4t, kann er verschiedene, sch\u00e4dliche Aktivit\u00e4ten ausf\u00fchren. Die Auswirkungen einer erfolgreichen Attacke sind vielf\u00e4ltig. Beobachtet wurden:<\/p>\n<ul>\n<li>File System Control (L\u00f6schen oder \u00dcbertragen von Dateien; Stoppen von Prozessen; \u00dcbernahme des Task-Managers).<\/li>\n<li>Datenlecks (Diebstahl von Bildern, Videos, Kennw\u00f6rter, System-Informationen, Browser-Chronik und Cookies).<\/li>\n<li>Ransomware (Verschl\u00fcsselung von Daten).<\/li>\n<li>I\/O-hijacking (Installation eines Keyloggers, der die Eingaben mitliest; heimliche Aufnahme von Ton und Bild \u00fcber Mikrophon und Kamera des Ger\u00e4ts; Knacken des Clipboards).<\/li>\n<\/ul>\n<p>Die Sicherheitsforscher sind \u00fcberzeugt, dass <em>Telegram<\/em> derzeit vermehrt angegriffen wird, weil es einen gro\u00dfen Zuwachs von Nutzern zu verzeichnen hat \u2013 auch als Unternehmensanwendung. Dutzende neuer Malware gegen <em>Telegram<\/em>, die einsatzbereit gekauft werden kann, liegen in Github-Speichern bereit. Einige Umst\u00e4nde kommen den Hackern entgegen:<\/p>\n<ul>\n<li><em>Telegram<\/em> wird von Sicherheitsl\u00f6sungen in Unternehmen nicht blockiert, weil es eine echte, sichere und stabile Anwendung ist, die au\u00dferdem einfach zu bedienen ist und dort h\u00e4ufig zum Einsatz kommt.<\/li>\n<li><em>Telegram<\/em> wahrt die Anonymit\u00e4t der Nutzer und damit auch der Angreifer hinter den verseuchten Konten, weil die Registrierung nur eine Telefonnummer fordert.<\/li>\n<li>Die technische Art und Weise, wie \u00fcber <em>Telegram<\/em> kommuniziert wird, erm\u00f6glicht den Angreifern einfachen Diebstahl von Daten von einem Computer oder die \u00dcbertragung infizierter Daten an das Ger\u00e4t.<\/li>\n<li>Die Angreifer k\u00f6nnen ihre Mobiltelefone nutzen, um infizierte Computer \u00fcberall auf der Welt \u00fcber <em>Telegram<\/em> anzuw\u00e4hlen.<\/li>\n<\/ul>\n<p>Christine Sch\u00f6nig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, fasst die Nachforschung zusammen: \u201eWir haben entdeckt, dass Malware-Autoren die Telegram-Plattform als einsatzbereites Command-and-Control-System f\u00fcr die Malware-Verteilung in Unternehmen nutzen. So kann die verwendete Malware ihre Befehle f\u00fcr Operationen von den Angreifern aus der Ferne \u00fcber <em>Telegram<\/em> empfangen \u2013 sogar dann, wenn Telegram auf dem Computer nicht installiert ist oder verwendet wird. Die Malware, welche die Hacker verwenden, ist an leicht zug\u00e4nglichen Orten wie der Open-Source-Plattform Github zu finden. Wir sind \u00fcberzeugt, die Angreifer nutzen die Tatsache aus, dass Telegram in fast allen Organisationen verwendet wird und daher Sicherheitseinschr\u00e4nkungen umgeht. Aus diesem Grund Raten wir allen Nutzern dringend, sich der Existenz b\u00f6sartiger E-Mails bewusst zu sein und bei solchen, die ihren Benutzernamen in den Betreff einbetten, oder mit gebrochener Sprache geschrieben wurden, misstrauisch zu sein. Da wir nun wissen, dass Telegram zum Verteilen von verseuchten Dateien oder als Befehls- und Kontroll-Zentrum f\u00fcr ferngesteuerte Malware herhalten kann, erwarten wir weitere Sch\u00e4dlinge, die speziell daf\u00fcr entwickelt werden.\"<\/p>\n<p>Hilfreiche Tipps gegen den Angriff lauten:<\/p>\n<ul>\n<li>Suchen Sie nach einer Datei namens: C:\\Users\\ToxicEye\\<strong>rat.exe<\/strong>. Ist diese vorhanden, wurde der Rechner infiziert und es sollte sofort die IT-Abteilung informiert werden, um die Datei zu l\u00f6schen.<\/li>\n<li>Der Netzwerkverkehr muss dahingehend \u00fcberwacht werden, ob \u00dcbertragungen von Computern im Unternehmen zu einem Telegram-Command-and-Control-Server stattfinden. Findet dies statt und <em>Telegram<\/em> wird nicht als Anwendung im Unternehmen offiziell eingesetzt, ist dies ein deutlicher Hinweis.<\/li>\n<li>Achten Sie auf E-Mail-Anh\u00e4nge, die Benutzernamen beinhalten oder Nachrichten, welche diese im Betreff f\u00fchren.<\/li>\n<li>Vorsicht, wenn Empf\u00e4nger- oder Absendernamen einer E-Mail fehlen oder nicht erkennbar sind.<\/li>\n<li>Passen Sie auf, ob die E-Mail in gebrochener Sprache geschrieben wurde, also viele Schreibfehler enth\u00e4lt.<\/li>\n<li>Unternehmen k\u00f6nnen sowieso eine automatisierte Sicherheitsl\u00f6sung gegen Phishing einsetzen, welche den Mitarbeiter bei der Abwehr unter die Arme greift und auf k\u00fcnstlicher Intelligenz fu\u00dft. Diese kann innerhalb der gesamten Unternehmenskommunikation Wache stehen.<\/li>\n<\/ul>\n<p>Weitere Informationen erhalten Sie in <a href=\"https:\/\/web.archive.org\/web\/20230329123112\/https:\/\/blog.checkpoint.com\/2021\/04\/22\/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsexperten von Check Point Research warnen vor neuer Kampagne, die Millionen von Nutzern bedroht. Die Angreifer k\u00f6nnen \u00fcber Telegram verseuchte Dateien auf Computern installieren und diese Programme dann remote steuern. Hier einige Informationen, die ich von Check Point direkt erhalten &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/24\/hacker-verbreiten-malware-ber-telegram\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-252417","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252417","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252417"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252417\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252417"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252417"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252417"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}