最新研究發現，即使該應用程序未安裝或未使用，攻擊者仍然可以利用它并通過電子郵件活動傳播惡意軟件，然后接管目標用戶的設備。

[[395831]]

警告!ToxicEye惡意軟件正在Telegram平臺中泛濫

近期，安全研究專家發現，網絡犯罪分子正在利用廣受歡迎的Telegram消息應用程序進行攻擊。他們會在該應用程序中嵌入一款名為ToxicEye的遠程訪問木馬(RAT)，當目標用戶感染了ToxicEye之后，攻擊者將能夠通過受攻擊的Telegram賬號來控制目標設備。

來自CheckPoint的安全研究人員表示，，ToxicEye惡意軟件可以接管目標設備的文件系統，安裝勒索軟件，并從目標用戶的電腦中提取數據。在過去的三個月時間里，他們跟蹤了130多起利用ToxicEye執行的網絡攻擊活動，而且攻擊者都是通過Telegram來實現木馬控制的。

在上周四他們發布的一份研究報告中，詳細介紹了攻擊者如何利用消息傳遞服務來與其自己的服務器進行通信，并將數據提取至攻擊者控制的服務器中。

CheckPoint的研發經理Idan Sharabi說到，考慮到Telegram的廣泛使用和普及，攻擊者很有可能能夠利用全球擁有5億多活躍用戶的Telegram作為他們的惡意軟件傳播平臺。他在一份電子郵件聲明中說到：“我們相信，攻擊者正在利用Telegram進行網絡攻擊，因為全球范圍內有很多組織和用戶都在使用這個應用程序，并且能夠很好地繞過安全限制。”

研究人員指出，Telegram作為一種安全的私人信息服務，在疫情期間的用戶量更是得到了極大增長。考慮到WhatsApp制定了新的隱私和數據管理政策，將有數百萬的用戶轉移到Telegram等其他消息傳遞平臺上。

[[395832]]

研究人員稱，這種不斷增長的Telegram用戶群導致了相應攻擊活動的激增，攻擊者向Telegram平臺投擲了大量常見的惡意軟件。據Check Point稱，他們已經發現了數十種現成的針對Telegram用戶的惡意軟件樣本。

研究人員指出，Telegram是隱藏此類活動的理想方式，因為它不受反病毒保護機制的阻止，攻擊者可以保持匿名，而且只需一個手機號碼即可注冊。考慮到該應用程序的通信基礎設施，攻擊者還可以輕松地從目標用戶的電腦上過濾并提取數據，或將新的惡意文件傳輸到受感染的機器上，并且可以從世界上任何地方遠程執行。

感染鏈

Telegram RAT攻擊開始前，攻擊者需要創建一個Telegram帳戶和一個專用Telegram bot，或遠程帳戶，這將允許他們以各種方式與其他用戶進行交互，包括聊天、將好友添加到組或通過鍵入bot的Telegram用戶名和查詢直接從輸入字段發送請求。

然后，攻擊者將bot令牌與RAT或其他選定的惡意軟件捆綁，并通過基于電子郵件的垃圾郵件活動將惡意軟件作為電子郵件附件傳播。比如說，攻擊者會通過一個名為“paypal checker by saint.exe”的文件來傳播惡意軟件。

一旦目標用戶打開了惡意附件之后，就會連接到Telegram，并通過Telegram bot對目標設備執行遠程攻擊。接下來，Telegram bot將使用消息服務將目標設備連接回攻擊者的命令控制服務器。研究人員說，感染后攻擊者可以完全控制目標設備，并從事一系列惡意活動。

在CheckPoint觀察到的攻擊中，ToxicEye RAT被用來定位和竊取用戶設備上的密碼、計算機信息、瀏覽器歷史記錄和cookies;刪除和傳輸文件或終止PC進程，以及接管PC的任務管理器;部署鍵盤記錄器或錄制目標用戶周圍的音頻和視頻，以及竊取剪貼板內容;用勒索軟件加密解密目標用戶的檔案。

識別和緩解方案

CheckPoint的研究人員表示，如果你的電腦受感染的話，電腦里面將會存在一個名為“rat.exe”文件，路徑為“C:\Users\ToxicEye\rat[.]exe”。

如果目標設備上沒有安裝Telegram應用程序的話，廣大用戶也應該監控設備上跟Telegram相關的流量。

除此之外，收件人在處理可疑郵件時，必須檢查郵件的收件人信息，如果沒有指定的收件人，或收件人未列出或未披露，則可能表明該電子郵件是釣魚或惡意郵件。