Подписаться
Читать в телеграм
Даже когда Telegram не установлен или не используется, хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение. За последние три месяца в CPR отследили более 130 кибератак, в которых злоумышленники управляли трояном удаленного доступа (RAT) ToxicEye через Telegram. Злоумышленники распространяли вредоносы, маскируя их под вложения электронной почты, и через эту активность получали доступ к системе, данным, а также могли устанавливать на устройства программы-вымогатели.
Атака происходит следующим образом. Злоумышленник создает учетную запись и специального бота в приложении. Аккаунт бота в Telegram — это специальная удаленная учетная запись, в которой пользователи могут взаимодействовать с помощью чата Telegram или через добавление в группы мессенджера.
Токен бота связывается с выбранной вредоносной программой. Затем вредоносное ПО распространяются через спам-рассылку в виде вложения электронной почты. Например, один из таких фалов, который идентифицировали специалисты CPR, назывался «PayPal Checker by saint.exe».
Далее предполагается, что потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное этим вредоносным содержимым, может быть атаковано через бот Telegram, который подключает пользователя обратно к C&C злоумышленника. И тогда хакер получает возможность выполнять ряд вредоносных действий: управлять файлами, в том числе и удалять их, красть данные, например, из буфера обмена, аудио и видео, а также зашифровывать файлы и устанавливать программы-вымогатели.
В 130 кибератаках с использованием Telegram в качестве системы управления был использован троян удаленного доступа (RAT) ToxicEye. RAT — вредоносное ПО, которое предоставляет злоумышленнику полный контроль над системой жертвы. ToxicEye управляется злоумышленником через Telegram, связывается с сервером хакера и пересылает на него данные. Троян распространяется через фишинговые электронные письма с вредоносными EXE-файлами. После того, как получатель открывает вложение, ToxicEye устанавливается на компьютер и выполняет ряд эксплойтов без ведома пользователя.
Команда Check Point Research смогла идентифицировать ряд ключевых моментов, которые характеризуют большинство недавних атак. Кража данных — RAT может находить и похищать пароли, информацию о компьютере, историю браузера и куки-файлы; управление файловой системой — удаление и передача файлов, завершение процессов ПК, использование диспетчера задач ПК; перехват ввода / вывода — RAT может применять кейлогер или записывать аудио и видео окружения пользователя через микрофон и камеру ПК, а также получать доступ к содержимому буфера обмена. Установка программ-вымогателей — возможность зашифровать и расшифровывать файлы.
Последнее исследование CPR показало рост популярности вредоносных программ на основе Telegram. Приложение входит в десятку самых скачиваемых в мире, а количество его активных пользователей превышает 500 миллионов. Например, только в репозиториях инструментов для хакеров GitHub были обнаружены десятки новых типов вредоносных программ на основе Telegram. Многие киберпреступники считают данное приложение важной частью своих атак из-за ряда его операционных преимуществ.
Мы настоятельно призываем организации и пользователей Telegram быть в курсе последних новостей о фишинговых атаках и относиться с большим подозрением к письмам, в тему которых встроено имя пользователя или организации. Учитывая, что Telegram можно использовать для распространения вредоносных файлов или как канал управления и контроля за вредоносным ПО, мы ожидаем, что в будущем злоумышленники продолжат разрабатывать дополнительные инструменты, использующие эту платформу.
Идан Шараби,
менеджер группы исследований и разработок Check Point Software Technologies
