14 декабря 2024

eur = 110.48 1.92 (1.77 %)

btc = 101 142.00$ - 375.53 (-0.37 %)

eth = 3 853.60$ -67.62 (-1.72 %)

ton = 6.12$ -0.11 (-1.72 %)

usd = 103.95 0.68 (0.66 %)

eur = 110.48 1.92 (1.77 %)

btc = 101 142.00$ - 375.53 (-0.37 %)

Форум

Обнаружен троян, использующий API Telegram-ботов для контроля над заражённым ПК

2 минуты на чтение
Обнаружен троян, использующий API Telegram-ботов для контроля над заражённым ПК

В сети обнаружили троян, использующий ботов в Telegram для контроля компьютеров жертв и кражи их конфиденциальных данных. Вирус был идентифицирован как ToxicEye.

Через API Telegram-ботов злоумышленники контролируют распространение своих вредоносных программ, используя мессенджер Павла Дурова как часть инфраструктуры для получения контроля над устройствами и кражи данных. Аналитиками Check Point Software Technologies было обнаружено около 130 подтвержденных атак с использованием нового типа вредоносного ПО. При этом вирус может представлять опасность, даже если Telegram не используется или не установлен на ПК.

Почему именно Telegram?

Киберпреступники используют Telegram в качестве неотъемлемой части своих атак, благодаря некоторых его преимуществ:

  • мессенджер не блокируется антивирусной защитой, так как считается законным сервисом;
  • позволяет оставаться анонимным, требуя только номер мобильного телефона для регистрации учетной записи;
  • позволяет злоумышленникам легко извлекать данные с ПК жертв или передавать вредоносные файлы на заражённые устройства для доступа к целевым компьютерам из любой точки мира.

Схема распространения

Вредоносное ПО, распространяемое злоумышленниками, представляет собой троян удаленного доступа (RAT), который обеспечивает полный контроль над пораженной системой, связываясь через Telegram с сервером C2, который управляется преступниками. Специалисты по обнаруженным образцам смогли выделить ряд свойств, характерных для вредоносного ПО:

  • возможность найти и украсть пароли, информацию о компьютере, историю браузера и файлы cookie;
  • возможность удалять и передавать файлы и управлять диспетчером задач ПК;
  • возможность раздавать кейлоггеры, записывать аудио и видео через микрофон и камеру ПК;
  • возможность шифровать и расшифровывать файлы жертвы с помощью программ-вымогателей.

ToxicEye в основном распространяется через фишинговые электронные письма, содержащие вредоносный файл .exe, который при запуске устанавливает RAT на компьютер ничего не подозревающей жертвы. Атака начинается с создания учетной записи и специального бота Telegram, который позволяет злоумышленникам взаимодействовать через чат, добавлять контакты в группы или отправлять запросы непосредственно в учетную запись бота с настраиваемыми запросами.

Впоследствии злоумышленники используют бота с помощью ToxicEye RAT и распространяют его в виде вредоносного спама через электронную почту. Как только жертва открывает вложение и заражается, ToxicEye автоматически подключается к Telegram, подвергая ПК удаленной атаке через компонент бота, который повторно подключается через мессенджер к серверу управления и контроля для выполнения злоумышленниками серии злонамеренных действий со всеми вытекающими последствиями.

То есть, не важно, является ли зарегистрирован ли пользователь в Telegram или нет, так как данные через API передаются боту, а заражённое устройство подключается к боту. Бот нужен только для передачи данных.

Как защититься от угроз?

Сотрудник исследований и разработок компании Check Point Software Technologies Идан Шараби, к сожалению, не смог дать никаких обнадеживающих рекомендаций:

Мы настоятельно призываем организации и пользователей Telegram знать о вредоносных электронных письмах и быть более осторожными с e-mail, в которых указано их имя пользователя и электронная почта. Учитывая, что Telegram можно использовать для распространения вредоносных файлов или в качестве канала управления и контроля удаленно контролируемых вредоносных программ, мы ожидаем, что в будущем продолжится разработка дополнительных инструментов, использующих эту платформу.

В качестве дополнительной меры защиты специалистами предлагается сканирование на возможное наличие файла rat.exe в папке C:/Users/ToxicEye/ и отслеживание трафика через учетные записи Telegram, особенно если мессенджер не установлен на ПК.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
bfc5e6c3-5e3c-41ec-bbe7-97cb39296225-изображение-0caa5f53d-c148-46f9-be3b-795f7a443ddf-изображение-1

GigaChat Max: коротко о главном

Какие самые популярные слова искали в Яндексе в 2024 году

Полная версия 
973c20aa-79d4-4842-97cf-4fc2ae0ff6bb-изображение-0

GigaChat Max: коротко о главном

Бывший исследователь OpenAI, который обвинил компанию в нарушении авторских прав, был найден мёртвым в своей квартире

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 301
Газпромбанк
МТС
Т-Банк
X5 Tech
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131