Обнаружен троян, использующий API Telegram-ботов для контроля над заражённым ПК

В сети обнаружили троян, использующий ботов в Telegram для контроля компьютеров жертв и кражи их конфиденциальных данных. Вирус был идентифицирован как ToxicEye.

Через API Telegram-ботов злоумышленники контролируют распространение своих вредоносных программ, используя мессенджер Павла Дурова как часть инфраструктуры для получения контроля над устройствами и кражи данных. Аналитиками Check Point Software Technologies было обнаружено около 130 подтвержденных атак с использованием нового типа вредоносного ПО. При этом вирус может представлять опасность, даже если Telegram не используется или не установлен на ПК.

Почему именно Telegram?

Киберпреступники используют Telegram в качестве неотъемлемой части своих атак, благодаря некоторых его преимуществ:

• мессенджер не блокируется антивирусной защитой, так как считается законным сервисом;
• позволяет оставаться анонимным, требуя только номер мобильного телефона для регистрации учетной записи;
• позволяет злоумышленникам легко извлекать данные с ПК жертв или передавать вредоносные файлы на заражённые устройства для доступа к целевым компьютерам из любой точки мира.

Схема распространения

Вредоносное ПО, распространяемое злоумышленниками, представляет собой троян удаленного доступа (RAT), который обеспечивает полный контроль над пораженной системой, связываясь через Telegram с сервером C2, который управляется преступниками. Специалисты по обнаруженным образцам смогли выделить ряд свойств, характерных для вредоносного ПО:

• возможность найти и украсть пароли, информацию о компьютере, историю браузера и файлы cookie;
• возможность удалять и передавать файлы и управлять диспетчером задач ПК;
• возможность раздавать кейлоггеры, записывать аудио и видео через микрофон и камеру ПК;
• возможность шифровать и расшифровывать файлы жертвы с помощью программ-вымогателей.

ToxicEye в основном распространяется через фишинговые электронные письма, содержащие вредоносный файл .exe, который при запуске устанавливает RAT на компьютер ничего не подозревающей жертвы. Атака начинается с создания учетной записи и специального бота Telegram, который позволяет злоумышленникам взаимодействовать через чат, добавлять контакты в группы или отправлять запросы непосредственно в учетную запись бота с настраиваемыми запросами.

Впоследствии злоумышленники используют бота с помощью ToxicEye RAT и распространяют его в виде вредоносного спама через электронную почту. Как только жертва открывает вложение и заражается, ToxicEye автоматически подключается к Telegram, подвергая ПК удаленной атаке через компонент бота, который повторно подключается через мессенджер к серверу управления и контроля для выполнения злоумышленниками серии злонамеренных действий со всеми вытекающими последствиями.

То есть, не важно, является ли зарегистрирован ли пользователь в Telegram или нет, так как данные через API передаются боту, а заражённое устройство подключается к боту. Бот нужен только для передачи данных.

Как защититься от угроз?

Сотрудник исследований и разработок компании Check Point Software Technologies Идан Шараби, к сожалению, не смог дать никаких обнадеживающих рекомендаций:

Мы настоятельно призываем организации и пользователей Telegram знать о вредоносных электронных письмах и быть более осторожными с e-mail, в которых указано их имя пользователя и электронная почта. Учитывая, что Telegram можно использовать для распространения вредоносных файлов или в качестве канала управления и контроля удаленно контролируемых вредоносных программ, мы ожидаем, что в будущем продолжится разработка дополнительных инструментов, использующих эту платформу.

В качестве дополнительной меры защиты специалистами предлагается сканирование на возможное наличие файла rat.exe в папке C:/Users/ToxicEye/ и отслеживание трафика через учетные записи Telegram, особенно если мессенджер не установлен на ПК.