텔레그램은 편리한 채팅 앱입니다. 맬웨어 제작자도 그렇게 생각합니다! ToxicEye는 Telegram 네트워크에 편승하여 인기 있는 채팅 서비스를 통해 제작자와 통신하는 RAT 악성 프로그램입니다.
텔레그램에서 채팅하는 악성코드
2021년 초, 기본적으로 Facebook과 사용자 메타데이터를 공유할 것이라고 회사가 발표한 후 더 나은 데이터 보안을 약속하는 메시징 앱을 위해 수많은 사용자가 WhatsApp을 떠났습니다. 그 중 많은 사람들이 경쟁 앱인 Telegram과 Signal을 사용했습니다.
Sensor Tower에 따르면 Telegram은 가장 많이 다운로드된 앱으로 2021년 1월에 6,300만 개 이상 설치되었습니다. Telegram 채팅은 Signal 채팅처럼 종단 간 암호화되지 않으며 이제 Telegram에는 멀웨어라는 또 다른 문제가 있습니다.
소프트웨어 회사인 Check Point는 최근 악성 행위자가 ToxicEye라는 악성 프로그램의 통신 채널로 Telegram을 사용하고 있음을 발견했습니다. Telegram의 일부 기능은 공격자가 웹 기반 도구를 사용하는 것보다 더 쉽게 멀웨어와 통신하는 데 사용할 수 있습니다. 이제 그들은 편리한 텔레그램 챗봇을 통해 감염된 컴퓨터를 엉망으로 만들 수 있습니다.
ToxicEye는 무엇이며 어떻게 작동합니까?
ToxicEye는 원격 액세스 트로이 목마(RAT)라는 악성 코드의 일종입니다. RAT는 공격자가 감염된 시스템을 원격으로 제어할 수 있도록 하여 다음을 수행할 수 있음을 의미합니다.
- 호스트 컴퓨터에서 데이터를 훔칩니다.
- 파일을 삭제하거나 전송합니다.
- 감염된 컴퓨터에서 실행 중인 프로세스를 종료합니다.
- 컴퓨터의 마이크와 카메라를 하이재킹하여 사용자의 동의나 인지 없이 오디오 및 비디오를 녹음하는 행위.
- 사용자로부터 몸값을 갈취하기 위해 파일을 암호화합니다.
ToxicEye RAT는 대상에게 EXE 파일이 포함된 이메일을 보내는 피싱 체계를 통해 확산됩니다. 대상 사용자가 파일을 열면 프로그램이 장치에 맬웨어를 설치합니다.
RAT는 기술 지원 담당자가 컴퓨터를 제어하고 문제를 해결하는 데 사용할 수 있는 원격 액세스 프로그램과 유사합니다. 그러나 이러한 프로그램은 무단으로 침투합니다. 그들은 종종 문서로 위장하거나 비디오 게임과 같은 더 큰 파일에 포함된 합법적인 파일을 모방하거나 숨길 수 있습니다.
공격자가 텔레그램을 사용하여 멀웨어를 제어하는 방법
2017년 초부터 공격자들은 Telegram을 사용하여 원격으로 악성 소프트웨어를 제어해 왔습니다. 이에 대한 한 가지 주목할만한 예는 그 해 피해자의 암호화폐 지갑을 비운 Masad Stealer 프로그램입니다.
Check Point의 연구원인 Omer Hofman은 회사가 2021년 2월부터 4월까지 이 방법을 사용한 130개의 ToxicEye 공격을 발견했으며 Telegram을 멀웨어를 유포하는 악의적인 행위자에게 유용하게 만드는 몇 가지 요소가 있다고 말했습니다.
우선 Telegram은 방화벽 소프트웨어에 의해 차단되지 않습니다. 또한 네트워크 관리 도구에 의해 차단되지 않습니다. 많은 사람들이 합법적인 것으로 인식하여 경계를 늦추는 사용하기 쉬운 앱입니다.
Telegram에 등록하려면 휴대폰 번호만 필요하므로 공격자는 익명을 유지할 수 있습니다. 또한 모바일 장치에서 장치를 공격할 수 있으므로 거의 모든 곳에서 사이버 공격을 시작할 수 있습니다. 익명은 공격의 원인을 누군가로 지정하고 공격을 막는 것을 매우 어렵게 만듭니다.
감염 사슬
ToxicEye 감염 체인이 작동하는 방식은 다음과 같습니다.
- 공격자는 먼저 텔레그램 계정을 만든 다음 앱을 통해 원격으로 작업을 수행할 수 있는 텔레그램 “봇”을 만듭니다.
- 해당 봇 토큰은 악성 소스 코드에 삽입됩니다.
- 해당 악성 코드는 이메일 스팸으로 전송되며, 이는 종종 사용자가 클릭할 수 있는 합법적인 것으로 위장합니다.
- 첨부 파일이 열리고 호스트 컴퓨터에 설치되고 Telegram 봇을 통해 공격자의 명령 센터로 정보를 다시 보냅니다.
이 RAT는 스팸 이메일을 통해 전송되기 때문에 감염되기 위해 텔레그램 사용자일 필요조차 없습니다.
안전 유지
ToxicEye를 다운로드했다고 생각되면 Check Point는 사용자에게 PC에서 C:UsersToxicEyerat.exe 파일을 확인하도록 조언합니다.
업무용 컴퓨터에서 파일을 찾으면 시스템에서 파일을 지우고 즉시 헬프 데스크에 문의하십시오. 개인 장치에 있는 경우 파일을 지우고 즉시 바이러스 백신 소프트웨어 검사를 실행합니다.
작성 당시 2021년 4월 말 현재 이러한 공격은 Windows PC에서만 발견되었습니다. 좋은 바이러스 백신 프로그램이 아직 설치되어 있지 않다면 지금 설치해야 합니다.
다음과 같이 우수한 “디지털 위생”에 대한 검증된 기타 조언도 적용됩니다.
- 의심스럽거나 낯선 발신자가 보낸 이메일 첨부 파일을 열지 마십시오.
- 사용자 이름이 포함된 첨부 파일에 주의하십시오. 악성 이메일은 제목 줄이나 첨부 파일 이름에 사용자 이름을 포함하는 경우가 많습니다.
- 이메일이 긴급하거나 위협적이거나 권위 있는 것처럼 들리고 링크/첨부 파일을 클릭하거나 민감한 정보를 제공하도록 압력을 가하는 경우 악성일 가능성이 높습니다.
- 가능하면 피싱 방지 소프트웨어를 사용하십시오.
Masad Stealer 코드는 2017년 공격 이후 Github에서 사용할 수 있게 되었습니다. Check Point는 이것이 ToxicEye를 포함한 다른 악성 프로그램의 개발로 이어졌다고 말합니다.
“Masad가 해킹 포럼에서 사용 가능해지면서 Telegram을 사용하는 수십 가지 새로운 유형의 맬웨어가 [command and control] 그리고 악성 활동을 위해 Telegram의 기능을 악용하는 것은 GitHub의 해킹 도구 저장소에서 ‘기성품’ 무기로 발견되었습니다.”
소프트웨어를 사용하는 회사는 Telegram이 이 배포 채널을 차단하는 솔루션을 구현할 때까지 다른 것으로 전환하거나 네트워크에서 차단하는 것을 고려하는 것이 좋습니다.
그 동안 개별 사용자는 눈을 떼지 않고 위험을 인식하고 위협을 근절하기 위해 정기적으로 시스템을 확인해야 하며 대신 Signal로 전환하는 것이 좋습니다.
