j5XpcW8LPSTMXB3E43AmnBvL2r59s0Bn3s1rqebM
Bookmark

Bagaimana RAT Malware Menggunakan Telegram untuk Menghindari Deteksi

Telegram adalah salah satu aplikasi chat yang cukup nyaman untuk digunakan, bahkan para pembuat malwarepun berpikir demikian. ToxicEye adalah program RAT Malware yang sedang hangat dibicarakan saat ini karena kemampuanya dalam pencurian data dan akses terhadap perangkat korban pada aplikasi telegram.

RAT Malware Menggunakan Telegram
RAT Malware Menggunakan Telegram

Malware ToxicEye di Telegram

Di Aawal tahun 2021, sejumlah pengguna meninggalkan WhatsApp untuk mencari alternatif chat messaging yang lebih baik dengan harapan mendapatkan tingkat keamanan data yang lebih baik setelah perusahaan yang menaungi whatsapp mengungumkan bahwa mereka akan membagikan metadata pengguna dengan facebook secara default. Dan pilihan yang paling banyak dipilih ialah telegram.

Telegram adalah aplikasi yang paling banyak diunduh di internet dengan lebih dari 63 Juta instalasi pada januari 2021, menurut sensor tower, chat yang dilakukan di telegram tidak dienkripsi secara end to end seperti halnya aplikasi chat yang lain, dan yang lebih parahnya lagi sekarang telegram mendapatkan masalah baru yaitu MALWARE.

Perusahaan perangkat lunak Check Point baru-baru ini menemukan bahwa pelaku kejahatan menggunakan Telegram sebagai saluran komunikasi untuk program malware yang disebut ToxicEye. Ternyata beberapa fitur Telegram dapat digunakan oleh penyerang untuk lebih mudah berkomunikasi dengan malware mereka daripada melalui alat berbasis web. Sekarang, mereka dapat mengacaukan komputer yang terinfeksi melalui chatbot Telegram.

Apa Itu ToxicEye, dan Bagaimana Cara Kerjanya?

ToxicEye adalah sejenis malware yang disebut remote access trojan (RAT). RAT dapat memberikan kontrol kepada penyerang atas mesin yang terinfeksi dari jarak jauh, artinya mereka dapat:

  • mencuri data dari komputer host.
  • hapus atau transfer file.
  • mematikan proses yang berjalan di komputer yang terinfeksi.
  • membajak mikrofon dan kamera komputer untuk merekam audio dan video tanpa izin atau sepengetahuan pengguna.
  • mengenkripsi file untuk memeras tebusan dari pengguna.

ToxicEye RAT disebarkan melalui skema phishing di mana target dikirimi email dengan file EXE yang disematkan. Jika pengguna yang ditargetkan membuka file tersebut, program menginstal malware di perangkat mereka.

RAT mirip dengan program akses jarak jauh yang, katakanlah, seperti seseorang yang ada di bagian tech support yang mana ia akan mengambil alih komputer Anda dan memperbaiki masalah yang anda keluhkan. Tetapi pada program ini mereka menyelinap tanpa izin. Mereka dapat meniru atau disembunyikan dengan file yang sah, sering kali disamarkan sebagai dokumen atau disematkan dalam file yang lebih besar seperti video game.

Bagaimana Penyerang Menggunakan Telegram untuk Mengontrol Malware

Pada awal 2017, penyerang telah menggunakan Telegram untuk mengontrol perangkat lunak berbahaya dari kejauhan. Salah satu contoh penting dari ini adalah program Masad Stealer yang mengosongkan dompet kripto korban tahun itu.

Peneliti Check Point Omer Hofman mengatakan bahwa perusahaan telah menemukan 130 serangan ToxicEye menggunakan metode ini dari Februari hingga April 2021, dan ada beberapa hal yang membuat Telegram mudah di akali/dibobol bagi orang jahat yang menyebarkan malware.

Satu hal yang penting, Telegram tidak diblokir oleh perangkat lunak firewall. Itu juga tidak diblokir oleh network management tools. Ini adalah aplikasi yang mudah digunakan yang bahkan banyak orang mengakui bahwa ini adalah aplikasi yang sah, dan oleh karena itu banyak orang yang lengah karena hal ini.

Mendaftar untuk Telegram hanya membutuhkan nomor ponsel, sehingga penyerang dapat tetap anonim. Ini juga memungkinkan mereka menyerang perangkat dari perangkat seluler mereka, artinya mereka dapat meluncurkan serangan dunia maya dari mana saja. Anonimitas membuat si penyerang tetap tersembunyi identitasnya sehingga sulit untuk dihentikan.

Rantai Infeksi

Berikut cara kerja rantai infeksi ToxicEye:

  1. Penyerang pertama-tama membuat akun Telegram dan kemudian "bot" Telegram, yang dapat melakukan tindakan dari jarak jauh melalui aplikasi.
  2. Token bot itu dimasukkan ke dalam kode sumber berbahaya.
  3. Kode berbahaya itu dikirim sebagai spam email, yang sering kali disamarkan sebagai sesuatu yang sah yang mungkin diklik oleh pengguna.
  4. Lampiran dibuka, dipasang di komputer host, dan mengirimkan informasi kembali ke pusat komando penyerang melalui bot Telegram.
  5. Karena RAT ini dikirim melalui email spam, Anda bahkan tidak perlu menjadi pengguna Telegram untuk terinfeksi.

Tetap Aman

Jika Anda merasa telah mengunduh ToxicEye, Check Point menyarankan pengguna untuk memeriksa file berikut di PC Anda: C: \ Users \ ToxicEye \ rat.exe

Jika Anda menemukannya di komputer kerja, hapus file dari sistem Anda dan segera hubungi help desk ditempay kerja anda. Jika ada di perangkat pribadi, hapus file dan langsung jalankan pemindaian perangkat lunak antivirus.

Pada saat penulisan, hingga akhir April 2021, serangan ini hanya ditemukan di PC Windows. Jika Anda belum menginstal program antivirus yang bagus, sekaranglah waktu yang tepat untuk mendapatkannya.

Saran lain yang bisa anda ikuti untuk "kebersihan dalam digital" adalah sebagai berikut:

  • Jangan buka lampiran email yang tampak mencurigakan dan / atau berasal dari pengirim yang tidak dikenal.
  • Hati-hati dengan lampiran yang berisi nama pengguna. Email berbahaya sering kali menyertakan nama pengguna Anda di baris subjek atau nama lampiran.
  • Jika email mencoba terdengar mendesak, mengancam, atau berwibawa dan menekan Anda untuk mengeklik tautan / lampiran atau memberikan informasi sensitif, itu mungkin berbahaya.
  • Gunakan perangkat lunak anti-phishing jika Anda bisa.

Kode malware masad stealer tersedia di Github setelah serangan 2017. Check Point mengatakan itu telah menyebabkan pengembangan sejumlah program berbahaya lainnya, termasuk ToxicEye:

Sejak Masad tersedia di forum peretasan, lusinan jenis malware baru yang menggunakan Telegram untuk [perintah dan kontrol] dan mengeksploitasi fitur Telegram untuk aktivitas jahat, telah ditemukan sebagai senjata 'off-the-shelf' dalam repositori alat peretasan di GitHub.

Perusahaan yang menggunakan perangkat lunak sebaiknya mempertimbangkan untuk beralih ke sesuatu yang lain atau memblokirnya di jaringan mereka sampai Telegram menerapkan solusi untuk memblokir saluran distribusi ini.

Sementara itu, pengguna individu harus tetap waspada, waspada terhadap risikonya, dan memeriksa sistem mereka secara teratur untuk membasmi ancaman dan mungkin mempertimbangkan untuk beralih ke aplikasi chat Signal sebagai gantinya.

0

Post a Comment