Обнаружен троян, использующий API Telegram-ботов для контроля над заражённым ПК
В сети обнаружили троян, использующий ботов в Telegram для контроля компьютеров жертв и кражи их конфиденциальных данных. Вирус был идентифицирован как ToxicEye.
Через API Telegram-ботов злоумышленники контролируют распространение своих вредоносных программ, используя мессенджер Павла Дурова как часть инфраструктуры для получения контроля над устройствами и кражи данных. Аналитиками Check Point Software Technologies было обнаружено около 130 подтвержденных атак с использованием нового типа вредоносного ПО. При этом вирус может представлять опасность, даже если Telegram не используется или не установлен на ПК.
Почему именно Telegram?
Киберпреступники используют Telegram в качестве неотъемлемой части своих атак, благодаря некоторых его преимуществ:
- мессенджер не блокируется антивирусной защитой, так как считается законным сервисом;
- позволяет оставаться анонимным, требуя только номер мобильного телефона для регистрации учетной записи;
- позволяет злоумышленникам легко извлекать данные с ПК жертв или передавать вредоносные файлы на заражённые устройства для доступа к целевым компьютерам из любой точки мира.
Схема распространения
Вредоносное ПО, распространяемое злоумышленниками, представляет собой троян удаленного доступа (RAT), который обеспечивает полный контроль над пораженной системой, связываясь через Telegram с сервером C2, который управляется преступниками. Специалисты по обнаруженным образцам смогли выделить ряд свойств, характерных для вредоносного ПО:
- возможность найти и украсть пароли, информацию о компьютере, историю браузера и файлы cookie;
- возможность удалять и передавать файлы и управлять диспетчером задач ПК;
- возможность раздавать кейлоггеры, записывать аудио и видео через микрофон и камеру ПК;
- возможность шифровать и расшифровывать файлы жертвы с помощью программ-вымогателей.
ToxicEye в основном распространяется через фишинговые электронные письма, содержащие вредоносный файл .exe, который при запуске устанавливает RAT на компьютер ничего не подозревающей жертвы. Атака начинается с создания учетной записи и специального бота Telegram, который позволяет злоумышленникам взаимодействовать через чат, добавлять контакты в группы или отправлять запросы непосредственно в учетную запись бота с настраиваемыми запросами.
Впоследствии злоумышленники используют бота с помощью ToxicEye RAT и распространяют его в виде вредоносного спама через электронную почту. Как только жертва открывает вложение и заражается, ToxicEye автоматически подключается к Telegram, подвергая ПК удаленной атаке через компонент бота, который повторно подключается через мессенджер к серверу управления и контроля для выполнения злоумышленниками серии злонамеренных действий со всеми вытекающими последствиями.
То есть, не важно, является ли зарегистрирован ли пользователь в Telegram или нет, так как данные через API передаются боту, а заражённое устройство подключается к боту. Бот нужен только для передачи данных.
Как защититься от угроз?
Сотрудник исследований и разработок компании Check Point Software Technologies Идан Шараби, к сожалению, не смог дать никаких обнадеживающих рекомендаций:
Мы настоятельно призываем организации и пользователей Telegram знать о вредоносных электронных письмах и быть более осторожными с e-mail, в которых указано их имя пользователя и электронная почта. Учитывая, что Telegram можно использовать для распространения вредоносных файлов или в качестве канала управления и контроля удаленно контролируемых вредоносных программ, мы ожидаем, что в будущем продолжится разработка дополнительных инструментов, использующих эту платформу.
В качестве дополнительной меры защиты специалистами предлагается сканирование на возможное наличие файла rat.exe в папке C:/Users/ToxicEye/ и отслеживание трафика через учетные записи Telegram, особенно если мессенджер не установлен на ПК.
Читать первым в Telegram-канале «Код Дурова»