Telegram не только не блокируется корпоративными антивирусными решениями, но также позволяет злоумышленникам оставаться анонимными. Для процесса регистрации требуется только номер мобильного телефона, благодаря чему доступ к зараженным устройствам можно получить практически из любой точки мира.
Вредонос ToxicEye, распространяемый через фишинговые электронные письма, использует Telegram для связи с C&C-сервером и загрузки данных. Вредоносная программа также способна похищать данные, передавать и удалять файлы, завершать процессы, запускать кейлоггер, перехватывать контроль над микрофоном и камерой компьютера для записи аудио и видео и даже шифровать файлы с целью требования выкупа.
Цепочка атак начинается с создания злоумышленником Telegram-бота, который затем встраивается в файл конфигурации RAT перед компиляцией в исполняемый файл (например, «средство проверки PayPal saint.exe»). Затем .EXE-файл внедряется в документ Microsoft Word (solution.doc), который при открытии из электронного письма загружает и запускает RAT.