Les chercheurs en sécurité ont découvert que la popularité de Telegram en tant que plate-forme de messagerie cryptée de bout en bout l’a également rendue populaire auprès des acteurs de la menace.
Dans un nouveau rapport, Omer Hofman de la société de cybersécurité Check Point explique que les auteurs de logiciels malveillants utilisent de plus en plus Telegram comme un système de commande et de contrôle (C&C) prêt à l’emploi pour leurs activités malveillantes, car il offre plusieurs avantages par rapport à l’administration de logiciels malveillants classiques sur le Web. .
Fait intéressant, Telegram n’est pas le seul outil de cryptage en marque blanche qui a été réutilisé par les acteurs de la menace. Une étude récente de Sophos a révélé que les opérateurs de logiciels malveillants adoptent de plus en plus des protocoles de communication chiffrés ainsi que des services cloud légitimes pour échapper à la détection.
Nous examinons comment nos lecteurs utilisent VPN pour un prochain rapport détaillé. Nous aimerions connaître votre opinion dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.
>> Cliquez ici pour démarrer l’enquête dans une nouvelle fenêtre <
Sommaire
Avantages opérationnels
Dans son analyse, Hofman note que Telegram a été utilisé pour la première fois comme serveur de logiciels malveillants C&C en 2017, par les opérateurs de la souche Masad. Ce groupe aurait été le premier à réaliser les avantages de l’utilisation d’un service de messagerie instantanée populaire comme partie intégrante des attaques.
Depuis lors, dit Hofman, les chercheurs ont découvert des dizaines de souches de logiciels malveillants qui utilisent Telegram pour les aider dans leurs activités malveillantes. Étonnamment, ceux-ci sont proposés dans un état prêt à être armé et sont cachés à la vue de tous dans les référentiels publics GitHub.
Au cours des trois derniers mois, Check Point a observé plus d’une centaine d’attaques utilisant un nouveau cheval de Troie d’accès à distance multifonctionnel (RAT) appelé ToxicEye, propagées via des e-mails de phishing contenant un exécutable malveillant.
ToxicEye est également géré par des attaquants via Telegram, qu’il utilise pour communiquer avec le serveur C&C et siphonner les données volées.
L’analyse de ToxicEye par Hofman révèle que ses auteurs ont intégré un robot Telegram dans son fichier de configuration. Une fois qu’une victime a été infectée, le bot aide à connecter l’appareil de l’utilisateur au C&C de l’attaquant via Telegram.
Il a été observé que le robot volait des données, déploie un enregistreur de frappe, enregistre de l’audio et de la vidéo et peut même fonctionner comme un ransomware, chiffrant des fichiers sur la machine d’une victime.
Fait inquiétant, Hofman note que l’utilisation de Telegram à des fins aussi malveillantes ne fera qu’augmenter.
«Étant donné que Telegram peut être utilisé pour distribuer des fichiers malveillants, ou comme canal C&C pour les logiciels malveillants contrôlés à distance, nous espérons que des outils supplémentaires qui exploitent cette plate-forme continueront à être développés à l’avenir», conclut-il.
Telegram n’a pas répondu immédiatement à notre demande de commentaire.
