Telegram是一个方便的聊天应用程序。甚至恶意软件的创造者也这么认为！ToxicEye是一个老鼠恶意软件程序，它搭载在Telegram的网络上，通过流行的聊天服务与其创建者进行通信。

在电报上聊天的恶意软件

RELATEDSignal vs. Telegram: Which Is the Best Chat App?

Early in 2021, scores of users left WhatsApp for messaging apps promising better data security after the company’s announcement that it would share user metadata with Facebook by default. A lot of those people went to competing apps Telegram and Signal.

据Sensor Tower称，Telegram是下载量最大的应用程序，2021年1月安装量超过6300万台。电报聊天不像信号聊天那样端到端加密，现在，电报还有另一个问题：恶意软件。

软件公司CheckPoint最近发现，不良行为者正在利用电报作为一个名为ToxicEye的恶意软件程序的通信通道。事实证明，Telegram的一些功能可以被攻击者用来与他们的恶意软件进行通信，比通过基于web的工具更容易。现在，他们可以通过一个方便的电报聊天机器人来搞乱被感染的电脑。

什么是毒液，它是怎么起作用的(toxiceye, and how does it work)？

RELATEDWhat is RAT Malware, and Why Is It So Dangerous?

ToxicEye is a type of malware called a remote access trojan (RAT). RATs can give an attacker control of an infected machine remotely, meaning that they can:

• 从主机窃取数据。
• 删除或传输文件。
• 杀死受感染计算机上运行的进程。
• 在未经用户同意或不知情的情况下劫持计算机的麦克风和摄像头录制音频和视频。
• 加密文件以勒索用户的赎金。

毒鼠强是通过一个网络钓鱼方案传播的，在这个方案中，目标会收到一封带有嵌入EXE文件的电子邮件。如果目标用户打开文件，程序会在其设备上安装恶意软件。

RAT类似于远程访问程序，比如说，技术支持人员可以使用它来控制您的计算机并解决问题。但这些程序未经允许就偷偷进入。它们可以模仿或隐藏合法的文件，通常伪装成一个文件或嵌入一个更大的文件，如视频游戏。

攻击者如何使用电报控制恶意软件

早在2017年，攻击者就开始利用Telegram远程控制恶意软件。其中一个值得注意的例子就是当年清空受害者密码钱包的Masad Stealer计划。

Advertisement

CheckPoint研究人员Omer Hofman说，该公司在2021年2月至4月期间发现了130起使用这种方法的ToxicEye攻击，有几件事使Telegram对传播恶意软件的坏人有用。

首先，电报没有被防火墙软件阻止。它也不会被网络管理工具阻止。这是一个易于使用的应用程序，许多人认为是合法的，因此，让他们放松警惕。

RELATEDHow to Sign up for Signal or Telegram Anonymously

Registering for Telegram only requires a mobile number, so attackers can remain anonymous. It also lets them attack devices from their mobile device, meaning that they can launch a cyberattack from just about anywhere. Anonymity makes attributing the attacks to someone—and stopping them—extremely difficult.

感染链

以下是毒液感染链的工作原理：

1. 攻击者首先创建一个电报帐户，然后创建一个电报“bot”，它可以通过应用程序远程执行操作。
2. 该bot令牌***到恶意源代码中。
3. 恶意代码以垃圾邮件的形式发送出去，通常伪装成合法的东西，用户可能会点击它。
4. 附件被打开，安装在主机上，并通过Telegram bot将信息发送回攻击者的命令中心。

因为这只老鼠是通过垃圾邮件发送出去的，你甚至不必是一个电报用户就可以被感染。

保持安全

如果您认为您可能下载了ToxicEye，Check Point建议用户检查您电脑上的以下文件：C:\users\ToxicEye\rat.exe

如果您在工作电脑上找到它，请从系统中删除该文件，并立即联系您的服务台。如果是在个人设备上，请删除该文件并立即运行防病毒软件扫描。

Advertisement

在撰写本文时，截至2021年4月底，这些攻击只在Windows PC上发现。如果您还没有安装好的防病毒程序，现在是时候安装了。

关于良好的“数字卫生”的其他行之有效的建议也适用，例如：

• 不要打开看起来可疑和/或来自不熟悉发件人的电子邮件附件。
• 注意包含用户名的附件。恶意电子邮件通常会在主题行或附件名称中包含您的用户名。
• 如果这封邮件听起来很紧急、有威胁性或权威性，并迫使你点击链接/附件或提供敏感信息，那么它可能是恶意的。
• 如果可以，请使用反钓鱼软件。

2017年攻击之后，Github上提供了Masad窃取者代码。Check Point称这导致了大量其他恶意程序的开发，包括ToxicEye：

“Since Masad became available on hacking forums, dozens of new types of malware that use Telegram for [command and control] and exploit Telegram’s features for malicious activity, have been found as ‘off-the-shelf’ weap*** in hacking tool repositories in GitHub.”

使用该软件的公司最好考虑切换到其他东西或在其网络上阻止它，直到电报实现一个解决方案来阻止这个分销渠道。

同时，个人用户应该睁大眼睛，注意风险，定期检查他们的系统，以消除威胁，或者考虑切换到信号。