Telegram : un outil pour les cyberattaques ?

Telegram est une application de messagerie très sécurisée. Cependant, elle est aussi devenue un outil pour les cybercriminels qui abusent des avantages de la plateforme. Connue pour sa confidentialité et sa sécurité, cette plateforme de messagerie est maintenant utilisée d’une manière inattendue : comme un conduit pour contrôler des sites web infectés par des logiciels malveillants.

L’utilisation détournée de Telegram

Selon le blog de Sucuri, la polyvalence de Telegram est claire : ses fonctionnalités assurent confidentialité et flexibilité. Cependant, ces qualités attirent aussi les cybercriminels.

L’une des principales utilisations de Telegram par les attaquants est la réception de notifications sur l’état de leur malware. Une fois le site compromis, les attaquants reçoivent des alertes en temps réel via un bot Telegram. Ces notifications incluent la capture de nouvelles données, l’implantation de logiciels malveillants et les interactions des administrateurs avec les parties infectées du site.

Exfiltration de données

Les bots Telegram extraient souvent les données volées directement vers le compte de l’attaquant. Cela inclut des informations sensibles, des identifiants de connexion et des données financières. La rapidité et le chiffrement de Telegram déplacent ces données rapidement et discrètement, contournant les mesures de sécurité classiques.

Traditionnellement, les logiciels malveillants nécessitent un serveur de commande pour gérer les systèmes infectés. Telegram offre une alternative plus discrète. Avec de simples messages, les attaquants commandent à leur malware de télécharger des composants, de se propager ou d’initier une attaque DDoS. Telegram simplifie l’infrastructure nécessaire et réduit le risque d’exposer les serveurs aux forces de l’ordre et aux experts en cybersécurité.

Difficultés de traçabilité

Le chiffrement fort et les politiques de confidentialité de Telegram rendent difficile l’identification des auteurs. Les attaquants se cachent derrière l’anonymat, compliquant les efforts des forces de l’ordre et des chercheurs pour neutraliser les menaces. L’année dernière, une équipe de recherche a trouvé de nombreuses infections de logiciels malveillants utilisant Telegram pour attaquer des sites web. Elle a nettoyé plus de 11 000 fichiers malveillants de plus de 290 sites web infectés.

Étude de cas 1 : Système de surveillance et de notification

On trouve parfois des attaquants utilisant des bots Telegram pour recevoir des notifications en temps réel sur l’état de leur malware sur des sites web compromis. Cela inclut des alertes sur de nouvelles captures de données, des implants de malware supplémentaires et des interactions des administrateurs. Le malware utilise un bot pour s’authentifier et envoie ensuite l’URL du site web, son nom et l’adresse e-mail de l’administrateur à une discussion spécifique où l’attaquant peut collecter et utiliser ces détails.

Étude de cas 2 : Phishing pour les cartes de crédit

Les attaquants utilisent souvent des scripts PHP sur des sites web compromis pour envoyer des identifiants volés et des données sensibles à leurs serveurs. Cependant, l’usage de l’API Telegram pour l’exfiltration de données a augmenté en raison de son service de messagerie chiffrée.

Lors d’une enquête, une page de phishing imitant DHL a été découverte. La fausse page ressemblait à une page de suivi DHL légitime avec des couleurs, des polices et des styles similaires. Chaque soumission de formulaire activait JavaScript pour rassembler les données et les envoyer à un bot Telegram via un service sur Herokuapp.

Étude de cas 3 : Phishing pour les identifiants de connexion

Dans un autre exemple récent, des attaquants ont exploité l’API Telegram pour faciliter une escroquerie de phishing. Ils ont créé un script de mailer utilisant Telegram pour transmettre des données volées (adresses, e-mails, numéros de téléphone et adresses IP) directement à l’attaquant. Le script de phishing le plus détecté avec exfiltration via Telegram se trouvait dans les fichiers telegram_bot.php de divers sous-répertoires de phishing. Cette méthode simplifie la collecte et l’exploitation des informations sensibles. Elle permet à l’attaquant de recevoir des notifications instantanées et d’utiliser les identifiants volés avant que l’utilisateur ou son organisation ne détecte une activité suspecte.

Étude de cas 4 : Exfiltration de données côté serveur

Les attaquants trouvent toujours des moyens ingénieux pour voler des données à partir de sites web compromis. Ces dernières années, les attaquants ont utilisé l’API Telegram pour exfiltrer des données depuis les serveurs web. Ils envoient les données volées directement à un bot, rendant la détection difficile et permettant un accès en temps réel aux informations compromises.

Un exemple notable implique une attaque sur un site WordPress où du code malveillant a été injecté. Ce code a capturé les identifiants de connexion chaque fois qu’un utilisateur tentait de se connecter et a envoyé les données volées à un bot Telegram.

Pourquoi Telegram est attrayant pour les cybercriminels ?

Bien que d’autres applications de messagerie comme WhatsApp offre également un chiffrement, les fonctionnalités uniques de Telegram le rendent particulièrement attrayant pour les attaquants :

  • Accessibilité de l’API : Telegram permet une automatisation étendue, facilitant le déploiement de bots.
  • Anonymat accru : Telegram offre un meilleur anonymat que les plateformes nécessitant un numéro de téléphone. utilisateur.
  • Flexibilité de l’API : WhatsApp chiffre les messages mais n’offre pas le même anonymat ou flexibilité, essentiels pour gérer des cyberattaques sans révéler d’identité.

Aborder la menace

Pour détecter et se protéger contre les logiciels malveillants basés sur Telegram, plusieurs stratégies peuvent être adoptées :

  • Analyse du trafic réseau : surveiller régulièrement pour détecter des connexions suspectes à l’API Telegram.
  • Vérification des journaux du serveur : repérer des connexions sortantes ou des charges de données inhabituelles.
  • Surveillance avancée : utiliser des algorithmes pour identifier des comportements anormaux.
  • Pare-feu et IDS : installer un pare-feu et un système de détection d’intrusion.
  • Mises à jour : maintenir les systèmes et logiciels à jour pour combler les vulnérabilités.

Telegram est connu pour sa messagerie sécurisée, mais des acteurs malveillants exploitent ses fonctionnalités pour attaquer des sites web. Il n’existe pas de solution parfaite pour prévenir cela. Telegram devrait cependant trouver des moyens de prévenir ces abus sans compromettre la confidentialité.

Sources :

https://blog.sucuri.net/2024/05/telegrams-role-website-malware.html

Tous nos articles de cyber attaques : https://leclubcyber.com/category/outils-de-veilles/veille-cybermenaces/

Yoann LECONTE
Yoann LECONTE
Yoann, collaborateur polyvalent chez Feel Agile, a travaillé sur divers projets, incluant des campagnes de Phishing et de sensibilisation, la création d'un E-Learning en Cybersécurité, et l'assistance aux chefs de projet. Ses études, connaissances et veille constante en Cybersécurité lui ont permis d'apporter une expertise précieuse à Feel Agile et ses clients.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie