Срочно. Хакеры используют Telegram для внедрения зловреда

>Хакеры используют Telegram для внедрения зловреда. Фото: Pixabay

«Даже когда Telegram не установлен или не используется, система позволяет хакерам удалённо отправлять вредоносные команды и операции через приложение для обмена мгновенными сообщениями», - заявили исследователи из фирмы Check Point, занимающейся кибербезопасностью, которые выявили не менее 130 атак за последние три месяца. которые используют новый многофункциональный троян удалённого доступа (RAT) под названием ToxicEye.

Telegram и ранее использовался для облегчения злонамеренных действий. В сентябре 2019 года было обнаружено, что злоумышленник, получивший название Masad Stealer, похищал информацию и данные криптовалютных кошельков с заражённых компьютеров, используя Telegram в качестве канала эксфильтрации. Затем в прошлом году группы Magecart применили ту же тактику, чтобы отправить злоумышленникам украденные платёжные реквизиты с взломанных веб-сайтов.

Стратегия окупается несколькими способами. Во-первых, Telegram не только не блокируется корпоративными антивирусными ядрами, приложение для обмена сообщениями также позволяет злоумышленникам оставаться анонимными, поскольку для процесса регистрации требуется только номер мобильного телефона, что даёт им доступ к заражённым устройствам практически из любой точки мира.

Последняя кампания, обнаруженная Check Point, ничем не отличается. ToxicEye, распространяемый через фишинговые электронные письма, в которые встроен вредоносный исполняемый файл Windows, использует Telegram для связи с сервером управления и контроля (C2) и загрузки на него данных. Вредоносная программа также обладает рядом эксплойтов, которые позволяют ей красть данные, передавать и удалять файлы, прекращать процессы, развёртывать кейлоггер, захватить микрофон и камеру компьютера для записи аудио и видео и даже зашифровать файлы с целью получения выкупа.

В частности, цепочка атак начинается с создания злоумышленником бота Telegram , который затем встраивается в файл конфигурации RAT перед компиляцией в исполняемый файл (например, «средство проверки PayPal от saint.exe»). Затем этот .EXE-файл вводится в документ Word («solution.doc»), который при открытии загружает и запускает Telegram RAT («C: \ Users \ ToxicEye \ rat.exe»).

«Мы обнаружили растущую тенденцию, когда авторы вредоносных программ используют платформу Telegram в качестве готовой системы управления и контроля для распространения вредоносных программ в организациях», - сказал менеджер группы исследований и разработок Check Point Идан Шараби. «Мы считаем, что злоумышленники используют тот факт, что Telegram используется и разрешён почти во всех организациях, используя эту систему для выполнения кибератак, которые могут обойти ограничения безопасности».