توصل بحث جديد إلى أن المتسللين قادرون على استخدام تطبيق تيليغرام الشهير لنشر البرامج الضارة بهدف الاستيلاء كلياً على أجهزة الضحايا، حتى لو لم يكن التطبيق قيد الاستخدام أو حتى مثبتاً في الأساس على هذه الهواتف الذكية.
وأفاد البحث بأن المتسللين يستفيدون من تطبيق المراسلة الشهير Telegram من خلال تضمين الكود الخاص به داخل حصان طروادة سيء يمكن التحكم به عن بُعد (RAT) ويُطلق عليه اسم ToxicEye. وبالتالي، يتم التحكم في جهاز كمبيوتر الضحية المصاب ببرنامج ToxicEye الضار عبر حساب المراسلة في تيليغرام الذي يديره المخترقون.
ويسمح البرنامج الضار ToxicEye بالاستيلاء على أنظمة الملفات وتثبيت برامج الفدية وتسريب البيانات من أجهزة الكمبيوتر الخاصة بالضحايا وغيره، وفق ما كشف الباحثون الأمنيون في Check Point الذين تعقبوا أكثر من 130 هجوماً إلكترونياً من نوع ToxicEye في الأشهر الثلاثة الماضية. موضحين أن المهاجمين يستخدمون خدمة المراسلة في تيليغرام للتواصل مع الخادم الخاص بهم مما يسمح لهم بتسريب البيانات إليه.
سلسلة العدوى
تبدأ هجمات Telegram RAT بقيام الجهات الفاعلة بالتهديد بإنشاء حساب روبوت مخصص على التطبيق، أو حساب بعيد يسمح لهم بالتفاعل مع مستخدمين آخرين بطرق مختلفة – بما في ذلك الدردشة أو إضافة أشخاص إلى مجموعات أو إرسال طلبات مباشرة من حقل الإدخال عن طريق كتابة اسم مستخدم Telegram الخاص.
يقوم المهاجمون بعد ذلك بتجميع الرموز وربطها بالبرامج الضارة المختارة التي يتم نشرها عبر حملات البريد العشوائي المستندة إلى البريد الإلكتروني المسروق. وبمجرد أن يفتح الضحية المرفق الضار الموجود في البريد، فإنه سيتصل تلقائياً بـ Telegram ليترك الجهاز عرضة للهجوم عن بعد عبر Telegram bot.
ويبدو أنه بعد الإصابة بـ ToxicEye RAT، يكتسب المهاجمون السيطرة الكاملة على جهاز الضحية مما يسمح لهم بالانخراط في مجموعة من الأنشطة الشائنة، مثل تحديد وسرقة كلمات المرور ومعلومات الكمبيوتر وسجل المتصفح وملفات تعريف الارتباط من أجهزة الأشخاص. بالإضافة إلى حذف ونقل الملفات أو إنهاء عمليات الكمبيوتر، وتولي إدارة مهام الكمبيوتر الشخصي وتسجيل الصوت والفيديو لمحيط الضحية. وكذلك سرقة محتويات الحافظة واستخدام برامج الفدية لتشفير وفك تشفير ملفات الضحايا وغيره.
ولذلك، من المهم جداً التحقق من أي روابط قد تصلنا عبر البريد الالكتروني قبل الضغط عليها، حتى لو ظننا أنها قادمة من جهة موثوقة. يجب التدقيق والتأكد من المصدر ومن الصفحة التي سيأخذنا عليها الرابط قبل الضغط عليه.
تيليغرام لنشر البرامج الضارة.. والسبب؟
من المحتمل أن يكون المتسللون قد استعملوا Telegram كمنصة لتنفيذ الهجمات الإلكترونية ونشر البرامج الضارة، بسبب استخدام التطبيق على نطاق واسع مع أكثر من 500 مليون مستخدم نشط في جميع أنحاء العالم، وبما أن عدداً كبيراً من المؤسسات تسمح باستخدامه أيضاً.
فتطبيق تيليغرام المعروف باسم خدمة المراسلة الآمنة والخاصة، بات أكثر شيوعاً مع تفشي وباء فيروس كورونا من جهة، وأزمة سياسات إدارة البيانات والخصوصية الجديدة التي وضعها تطبيق واتساب مؤخراً والتي أثارت القلق بين المستخدمين مما دفعهم بالملايين إلى النزوح نحو منصات المراسلة البديلة مثل Telegram و Signal، من جهة أخرى.
هذا وأكد الباحثون أن تيليغرام طريقة مثالية لإخفاء النشاط الضار لأنه لا يتم حظره من برامج الحماية من الفيروسات بسبب شرعيته، مما يسمح للمهاجمين بتجاوز القيود الأمنية والبقاء مجهولين ومشغولين. حيث يتيح التطبيق للمهاجمين سرقة البيانات بسهولة من أجهزة الكمبيوتر الخاصة بالضحايا أو نقل ملفات ضارة جديدة إلى الأجهزة المصابة والكثير غيره. وأهم ما في الأمر أن كل ذلك يجري عن بُعد من أي مكان في العالم.