Бренды столкнулись с галлюцинациями рекламы в Meta* Бренды столкнулись с галлюцинациями рекламы в Meta* Половина дешёвых флешек оказались поддельными Половина дешёвых флешек оказались поддельными ИИ массово заговорил на пещерном языке ИИ массово заговорил на пещерном языке Треть американцев до сих пор смотрит контент на DVD Треть американцев до сих пор смотрит контент на DVD

Check Point Research отследила 130 атак с использованием Telegram

4 мин

Команда исследователей Check Point Research (CPR), подразделения Check Point Software Technologies Ltd, сообщает о растущем числе киберугроз, связанных с применением мессенджера Telegram в качестве системы управления и контроля для удаленного распространения вредоносного ПО. Даже когда Telegram не установлен или не используется, хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение. За последние три месяца в CPR отследили более 130 кибератак, в которых злоумышленники управляли трояном удаленного доступа (RAT) ToxicEye через Telegram. Злоумышленники распространяли вредоносы, маскируя их под вложения электронной почты, и через эту активность получали доступ к системе, данным, а также могли устанавливать на устройства программы-вымогатели.

Атака происходит следующим образом:

  • Злоумышленник начинает с создания учетной записи и специального бота в приложении. Аккаунт бота в Telegram — это специальная удаленная учетная запись, в которой пользователи могут взаимодействовать с помощью чата Telegram или через добавление в группы мессенджера.
  • Токен бота связывается с выбранной вредоносной программой.
  • Затем вредоносное ПО распространяются через спам-рассылку в виде вложения электронной почты. Например, один из таких фалов, который идентифицировали специалисты CPR, назывался «PayPal Checker by saint.exe».
  • Далее предполагается, что потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное этим вредоносным содержимым, может быть атаковано через бот Telegram, который подключает пользователя обратно к C&C злоумышленника.
  • И тогда хакер получает возможность выполнять ряд вредоносных действий: управлять файлами, в том числе и удалять их, красть данные, например, из буфера обмена, аудио и видео, а также зашифровывать файлы и устанавливать программы-вымогатели.

В 130 кибератаках с использованием Telegram в качестве системы управления был использован троян удаленного доступа (RAT) ToxicEye. RAT — вредоносное ПО, которое предоставляет злоумышленнику полный контроль над системой жертвы. ToxicEye управляется злоумышленником через Telegram, связывается с сервером хакера и пересылает на него данные. Троян распространяется через фишинговые электронные письма с вредоносными EXE-файлами. После того, как получатель открывает вложение, ToxicEye устанавливается на компьютер и выполняет ряд эксплойтов без ведома пользователя.

Команда Check Point Research смогла идентифицировать ряд ключевых моментов, которые характеризуют большинство недавних атак:

  • Кража данных — RAT может находить и похищать пароли, информацию о компьютере, историю браузера и куки-файлы;
  • Управление файловой системой — удаление и передача файлов, завершение процессов ПК, использование диспетчера задач ПК;
  • Перехват ввода / вывода — RAT может применять кейлогер или записывать аудио и видео окружения пользователя через микрофон и камеру ПК, а также получать доступ к содержимому буфера обмена.
  • Установка программ-вымогателей — возможность зашифровать и расшифровывать файлы.

Последнее исследование CPR показало рост популярности вредоносных программ на основе Telegram. Приложение входит в десятку самых скачиваемых в мире, а количество его активных пользователей превышает 500 миллионов. Например, только в репозиториях инструментов для хакеров GitHub были обнаружены десятки новых типов вредоносных программ на основе Telegram. Многие киберпреступники считают данное приложение важной частью своих атак из-за ряда его операционных преимуществ:

  • Отсутствие блокировки. Telegram — законный простой в использовании и стабильный сервис, который не блокируется корпоративными антивирусными «движками» или инструментами управления сетью.
  • Анонимность. Злоумышленники могут оставаться анонимными, поскольку для регистрации требуется только номер мобильного телефона.
    Легкая эксфильтрация. Благодаря уникальным коммуникационным функциям Telegram злоумышленники могут легко извлекать данные с компьютеров или передавать новые вредоносные файлы на зараженные устройства.
  • Доступность. Telegram также позволяет злоумышленникам использовать свои мобильные устройства для доступа к зараженным компьютерам практически из любой точки мира.

«Мы настоятельно призываем организации и пользователей Telegram быть в курсе последних новостей о фишинговых атаках и относиться с большим подозрением к письмам, в тему которых встроено имя пользователя или организации, — комментирует Идан Шараби, менеджер группы исследований и разработок Check Point Software Technologies. — Учитывая, что Telegram можно использовать для распространения вредоносных файлов или как канал управления и контроля за вредоносным ПО, мы ожидаем, что в будущем злоумышленники продолжат разрабатывать дополнительные инструменты, использующие эту платформу».

Советы безопасности:


  1. Запустите поиск файла с именем «C: \ Users \ ToxicEye \ rat.exe» — если он есть на компьютере, то устройство заражено, и следует немедленно обратиться в службу поддержки, чтобы удалить этот файл из системы.
  2. Анализируйте трафик с ПК — если его часть связана с C&C Telegram, а Telegram не установлен в качестве корпоративного решения, возможно, компьютер скомпрометирован.
  3. Остерегайтесь вложений, которые содержат имена пользователей в названиях файлов. Они указывают на подозрительные электронные письма, лучше сразу не открывая их удалить.
  4. Ищите нераскрытых или неуказанных получателей — если у адресатов нет имен, или они не указаны — это явный признак того, что это электронное письмо может быть вредоносным.
  5. Всегда обращайте внимание на ошибки в сообщении. Методы социальной инженерии созданы для того, чтобы использовать человеческую природу — например, люди с большей вероятностью совершают ошибки, когда они спешат и склонны выполнять приказы людей, наделенных властью. Фишинговые атаки обычно используют эти методы, чтобы убедить жертв игнорировать подозрения и кликнуть на ссылку или открыть вложение.
  6. Разверните автоматизированное антифишинговое решение. Для минимизации риска фишинговых атак на организацию лучше выбирать ПО на основе искусственного интеллекта, которое будет способно выявлять и блокировать фишинговый контент во всех коммуникационных сервисах организации (в электронной почте, приложениях для повышения производительности и т.д.) и на платформах (рабочих станциях сотрудников, мобильных устройствах и др.). Такое всестороннее покрытие необходимо, т.к. фишинговый контент может поступать на любой носитель, а с повсеместным использованием мобильных устройств сотрудники становятся еще более уязвимы.