Киберпреступники используют Telegram для удаленного распространения вредоносного ПО

Эксперты по кибербезопасности компании Check Point обнаружили схему использования мессенджера Telegram в качестве системы управления и контроля для удаленного распространения вредоносного ПО. Причем хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение даже когда Telegram не установлен или не используется.

За последние три месяца специалисты выявили более 130 кибератак, в которых злоумышленники управляли трояном удаленного доступа (RAT) ToxicEye через Telegram. Киберпреступники распространяли вредоносы, маскируя их под вложения электронной почты, и таким образом получали доступ к системе, данным, а также могли устанавливать на устройства программы-вымогатели.

Атака происходит следующим образом:

• Злоумышленник создает учетную запись и бота в приложении. Аккаунт бота в Telegram – это специальная удаленная учетная запись, в которой пользователи могут взаимодействовать с помощью чата Telegram или через добавление в группы мессенджера;
• Токен бота связывается с выбранной вредоносной программой. Затем вредоносное ПО распространяются через спам-рассылку в виде вложения электронной почты. Например, один из таких фалов, который идентифицировали специалисты, назывался «PayPal Checker by saint.exe»;
• Далее предполагается, что потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное этим вредоносным содержимым, может быть атаковано через бот Telegram, который подключает пользователя обратно к C&C злоумышленника;
• В результате хакер получает возможность выполнять ряд вредоносных действий: управлять файлами, в том числе и удалять их, красть данные, например, из буфера обмена, аудио и видео, а также зашифровывать файлы и устанавливать программы-вымогатели.

В кибератаках с использованием Telegram в качестве системы управления был использован ToxicEye. Это вредоносное ПО, которое предоставляет злоумышленнику полный контроль над системой жертвы. ToxicEye управляется злоумышленником через Telegram, связывается с сервером хакера и пересылает на него данные. Троян распространяется через фишинговые электронные письма с вредоносными EXE-файлами. После того, как получатель открывает вложение, ToxicEye устанавливается на компьютер и выполняет ряд эксплойтов без ведома пользователя.

Команда Check Point Research смогла идентифицировать ряд ключевых моментов, которые характеризуют большинство недавних атак:

• Кража данных – RAT может находить и похищать пароли, информацию о компьютере, историю браузера и куки-файлы;
• Управление файловой системой – удаление и передача файлов, завершение процессов ПК, использование диспетчера задач ПК;
• Перехват ввода/ вывода – RAT может применять кейлогер или записывать аудио и видео окружения пользователя через микрофон и камеру ПК, а также получать доступ к содержимому буфера обмена;
• Установка программ-вымогателей – возможность зашифровать и расшифровывать файлы.

Исследование Check Point Research показало рост популярности вредоносных программ на основе Telegram. Приложение входит в десятку самых скачиваемых в мире, а количество его активных пользователей превышает 500 млн. Например, только в репозиториях инструментов для хакеров на GitHub были обнаружены десятки новых типов вредоносных программ на основе Telegram. Многие киберпреступники считают данное приложение важной частью своих атак из-за ряда его операционных преимуществ:

• Отсутствие блокировки. Telegram – законный, простой в использовании и стабильный сервис, который не блокируется корпоративными антивирусными «движками» или инструментами управления сетью;
• Анонимность. Злоумышленники могут оставаться анонимными, поскольку для регистрации требуется только номер мобильного телефона;
• Легкая эксфильтрация. Благодаря уникальным коммуникационным функциям Telegram злоумышленники могут легко извлекать данные с компьютеров или передавать новые вредоносные файлы на зараженные устройства;
• Доступность. Telegram также позволяет злоумышленникам использовать свои мобильные устройства для доступа к зараженным компьютерам практически из любой точки мира.

Советы безопасности:

1. Запустите поиск файла с именем «C:\Users\ToxicEye\rat.exe» – если он есть на компьютере, то устройство заражено, и следует немедленно обратиться в службу поддержки, чтобы удалить этот файл из системы.
2. Анализируйте трафик с ПК – если его часть связана с C&C Telegram, а Telegram не установлен в качестве корпоративного решения, возможно, компьютер скомпрометирован.
3. Остерегайтесь вложений, которые содержат имена пользователей в названиях файлов. Они указывают на подозрительные электронные письма, лучше сразу не открывая их удалить.
4. Ищите нераскрытых или неуказанных получателей – если у адресатов нет имен, или они не указаны – это явный признак того, что это электронное письмо может быть вредоносным.
5. Всегда обращайте внимание на ошибки в сообщении. Фишинговые атаки обычно используют методы социальной инженерии, чтобы убедить жертв игнорировать подозрения и кликнуть на ссылку или открыть вложение.
6. Разверните автоматизированное антифишинговое решение на основе искусственного интеллекта, которое будет способно выявлять и блокировать фишинговый контент во всех коммуникационных сервисах организации (в электронной почте, приложениях для повышения производительности и т.д.) и на платформах (рабочих станциях сотрудников, мобильных устройствах и др.).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365