Aplikasi Telegram Disalahgunakan Peretas Sebar Malware ToxicEye

Cyberthreat.id – Check Point Software Technologies menemukan peretas menyalahgunakan platform pesan daring Telegram untuk menyebarkan perangkat lunak jahat (malware).

Menurut perusahaan keamanan siber asal Israel itu, peretas mula-mula membuat akun dan bot Telegram khusus, demikian seperti dikutip dari ThreatPost, diakses Jumat (23 April 2021).

Akun jarak jauh tersebut memungkinkan peretas berinteraksi dengan pengguna lain dengan berbagai cara, termasuk mengobrol, menambahkan orang ke grup, atau mengirim permintaan langsung dari bidang masukan dengan mengetik nama pengguna Telegram bot dan kueri.

Token bot ang dibuat kemudian digabungkan dengan malware “RAT ToxicEye”—trojan akses jarak jauh—atau malware pilihan lain untuk menyebarkan malware melalui serangan email phishing.

Check Point mendapati adanya spam email yang mengandung malware dalam sebuah file bernama “paypal checker by saint.exe”.

Jika korban membuka lampiran itu, bot Telegram peretas akan secara otomatis terkoneksi ke perangkat pengguna yang terinfeksi.

Penggunaan Telegram tersebut sebetulnya sebagai akun yang akan menghubungkan dengan server perintah dan kontrol (C&C) buatan peretas. Dengan kata lain, komputer korban yang terinfeksi ToxicEye dikendalikan oleh penyerang melalui akun Telegram.

"ToxicEye dikelola oleh penyerang melalui Telegram, berkomunikasi dengan server C&C penyerang dan melakukan eksfiltrasi data ke sana," kata Check Point.

Check Point mengamati RAT ToxicEye dalam tiga bulan terakhir dan menemukan ada lebih 130 serangan menggunakan malware tersebut.  Peretas dapat mencuri kata sandi, informasi komputer, riwayat browser, dan cookie.

Selain pencurian data, malware tersebut dapat menghapus dan mentransfer file, atau mematikan proses PC dan mengambil alih pengelola tugas PC, menerapkan keylogger atau merekam audio dan video disekitar korban melalui mikrofon dan kamera PC, atau membajak konten clipboard, serta fitur ransomware, di mana dapat mengenkripsi dan mendekripsi file korban.

Menurut Manajer Penelitian dan Pengembangan di Check Point, Idan Sharabi, Telegram dipakai peretas karena popularitasnya yang kini meluas, di mana pengguna aktifnya sudah mencapai lebih dari 500 juta pengguna di seluruh dunia. Karena ini layanan yang sah, maka kemungkinan peretas juga dapat menghindari proteksi keamanan.

Penyalahgunaan Telegram sebenarnya sudah lama dilakukan peretas. Pada 2017 pernah dilakukan oleh malware Masad, kata Check Point. Bahkan, ada banyak malware yang menggunakan Telegram untuk aktivitas jahatnya.

Ada beberapa hal yang menguntungkan peretas dalam menyalahgunakan Telegram,  menurut Check Point:

• Telegram adalah layanan yang sah, mudah digunakan, dan stabil yang tidak diblokir oleh mesin anti-virus perusahaan, atau oleh alat manajemen jaringan
• Penyerang dapat tetap anonim karena proses pendaftaran hanya membutuhkan nomor ponsel
• Fitur komunikasi unik Telegram berarti penyerang dapat dengan mudah mengambil data dari PC korban, atau mentransfer file berbahaya baru ke mesin yang terinfeksi.
• Telegram juga memungkinkan penyerang menggunakan perangkat seluler mereka untuk mengakses komputer yang terinfeksi dari hampir semua lokasi secara global.

Check Point pun menyarankan agar pengguna mencari file bernama C:\Users\ToxicEye\rat.exe di komputer. Jika menemukannya, hapus file itu.

Selain itu, organisasi dapat terapkan deteksi untuk Telegram. Untuk menghindarinya, Check Point menyarankan pengguna harus waspada terhadap lampiran email berbahaya serta email-email tidak dikenali.[]

Redaktur: Andi Nugroho