Awal tahun 2021, sejumlah pengguna meninggalkan WhatsApp untuk aplikasi perpesanan yang menjanjikan keamanan data yang lebih baik setelah perusahaan mengumumkan akan membagikan metadata pengguna dengan Facebook secara default. Banyak dari orang-orang itu pergi ke aplikasi pesaing Telegram dan Signal.
Telegram adalah aplikasi yang paling banyak diunduh, dengan lebih dari 63 juta penginstalan pada Januari 2021, menurut Sensor Tower. Obrolan Telegram tidak dienkripsi ujung ke ujung seperti obrolan Signal , dan sekarang, Telegram memiliki masalah lain: malware.
Perusahaan perangkat lunak Check Point baru-baru ini menemukan bahwa pelaku kejahatan menggunakan Telegram sebagai saluran komunikasi untuk program malware yang disebut ToxicEye. Ternyata beberapa fitur Telegram dapat digunakan oleh penyerang untuk berkomunikasi dengan malware mereka lebih mudah daripada melalui alat berbasis web. Sekarang, mereka dapat mengacaukan komputer yang terinfeksi melalui chatbot Telegram yang nyaman.
Apa Itu ToxicEye, dan Bagaimana Cara Kerjanya?
Apa itu RAT Malware, dan Mengapa Ini Sangat Berbahaya?
ToxicEye adalah sejenis malware yang disebut Remote Access Trojan (RAT) . RAT dapat memberikan kontrol kepada penyerang atas mesin yang terinfeksi dari jarak jauh, artinya mereka dapat:
mencuri data dari komputer host.
hapus atau transfer file.
mematikan proses yang berjalan di komputer yang terinfeksi.
membajak mikrofon dan kamera komputer untuk merekam audio dan video tanpa izin atau sepengetahuan pengguna.
mengenkripsi file untuk memeras tebusan dari pengguna.
ToxicEye RAT disebarkan melalui skema phishing di mana target dikirimi email dengan file EXE yang disematkan. Jika pengguna yang ditargetkan membuka file tersebut, program menginstal malware di perangkat mereka.
RAT mirip dengan program akses jarak jauh yang, katakanlah, seseorang di bagian dukungan teknis mungkin digunakan untuk mengambil alih komputer Anda dan memperbaiki masalah. Tetapi program-program ini menyelinap tanpa izin. Mereka dapat meniru atau disembunyikan dengan file yang sah, sering kali disamarkan sebagai dokumen atau disematkan dalam file yang lebih besar seperti video game.
Bagaimana Penyerang Menggunakan Telegram untuk Mengontrol Malware
Pada awal 2017, penyerang telah menggunakan Telegram untuk mengontrol perangkat lunak berbahaya dari kejauhan. Salah satu contoh penting dari ini adalah program Pencuri Masad yang mengosongkan dompet kripto korban tahun itu.
Peneliti Check Point Omer Hofman mengatakan bahwa perusahaan telah menemukan 130 serangan ToxicEye menggunakan metode ini dari Februari hingga April 2021, dan ada beberapa hal yang membuat Telegram berguna bagi pelaku jahat yang menyebarkan malware.
Untuk satu hal, Telegram tidak diblokir oleh perangkat lunak firewall. Itu juga tidak diblokir oleh alat manajemen jaringan. Ini adalah aplikasi yang mudah digunakan yang diakui banyak orang sebagai aplikasi yang sah, dan dengan demikian, lengah.
Rantai Infeksi Remote Access Trojan (RAT)
Inilah cara kerja rantai infeksi ToxicEye:
Penyerang pertama-tama membuat akun Telegram dan kemudian "bot" Telegram, yang dapat melakukan tindakan dari jarak jauh melalui aplikasi.
Token bot itu dimasukkan ke dalam kode sumber berbahaya.
Kode berbahaya itu dikirim sebagai spam email, yang sering kali disamarkan sebagai sesuatu yang sah yang mungkin diklik oleh pengguna.
Lampiran dibuka, dipasang di komputer host, dan mengirimkan informasi kembali ke pusat komando penyerang melalui bot Telegram.
Karena RAT ini dikirim melalui email spam, Anda bahkan tidak perlu menjadi pengguna Telegram untuk terinfeksi.
Cara Tetap Aman dan terihindar dari Remote Access Trojan (RAT)
Jika Anda merasa telah mengunduh ToxicEye, Check Point menyarankan pengguna untuk memeriksa file berikut di PC Anda: C: \ Users \ ToxicEye \ rat.exe
Jika Anda menemukannya di komputer kerja, hapus file dari sistem Anda dan segera hubungi meja bantuan Anda. Jika ada di perangkat pribadi, hapus file dan segera jalankan pemindaian perangkat lunak antivirus.
Pada saat penulisan, hingga akhir April 2021, serangan ini hanya ditemukan di PC Windows. Jika Anda belum program antivirus yang bagus menginstal , sekaranglah waktunya untuk mendapatkannya.
Saran lain yang sudah terbukti benar untuk "kebersihan digital" yang baik juga berlaku, seperti:
Jangan buka lampiran email yang terlihat mencurigakan dan / atau berasal dari pengirim yang tidak dikenal.
Hati-hati dengan lampiran yang berisi nama pengguna. Email berbahaya sering kali menyertakan nama pengguna Anda di baris subjek atau nama lampiran.
Jika email mencoba terdengar mendesak, mengancam, atau berwibawa dan menekan Anda untuk mengklik link / lampiran atau memberikan informasi sensitif, itu mungkin berbahaya.
Gunakan perangkat lunak anti-phishing jika Anda bisa.
Kode Pencuri Masad tersedia di Github setelah serangan 2017. Check Point mengatakan itu telah menyebabkan pengembangan sejumlah program berbahaya lainnya, termasuk ToxicEye:
“Sejak Masad tersedia di forum peretasan, lusinan jenis malware baru yang menggunakan Telegram untuk [perintah dan kendali] dan mengeksploitasi fitur Telegram untuk aktivitas jahat, telah ditemukan sebagai senjata 'off-the-shelf' di repositori alat peretasan di GitHub . ”
Perusahaan yang menggunakan perangkat lunak sebaiknya mempertimbangkan untuk beralih ke sesuatu yang lain atau memblokirnya di jaringan mereka sampai Telegram menerapkan solusi untuk memblokir saluran distribusi ini.
Sementara itu, pengguna individu harus tetap waspada, waspada terhadap risikonya, dan memeriksa sistem mereka secara teratur untuk membasmi ancaman — dan mungkin mempertimbangkan untuk beralih ke Signal sebagai gantinya.
Source : How To Geek
