Check Point Research отследила 130 атак с использованием Telegram

Команда исследователей Check Point Research (CPR), подразделения Check Point Software Technologies Ltd, сообщает о растущем числе киберугроз, связанных с применением мессенджера Telegram в качестве системы управления и контроля для удаленного распространения вредоносного ПО. Даже когда Telegram не установлен или не используется, хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение. За последние три месяца в CPR отследили более 130 кибератак, в которых злоумышленники управляли трояном удаленного доступа (RAT) ToxicEye через Telegram. Злоумышленники распространяли вредоносы, маскируя их под вложения электронной почты, и через эту активность получали доступ к системе, данным, а также могли устанавливать на устройства программы-вымогатели.

Атака происходит следующим образом:

  • Злоумышленник начинает с создания учетной записи и специального бота в приложении. Аккаунт бота в Telegram — это специальная удаленная учетная запись, в которой пользователи могут взаимодействовать с помощью чата Telegram или через добавление в группы мессенджера.
  • Токен бота связывается с выбранной вредоносной программой.
  • Затем вредоносное ПО распространяются через спам-рассылку в виде вложения электронной почты. Например, один из таких фалов, который идентифицировали специалисты CPR, назывался «PayPal Checker by saint.exe».
  • Далее предполагается, что потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное этим вредоносным содержимым, может быть атаковано через бот Telegram, который подключает пользователя обратно к C&C злоумышленника.
  • И тогда хакер получает возможность выполнять ряд вредоносных действий: управлять файлами, в том числе и удалять их, красть данные, например, из буфера обмена, аудио и видео, а также зашифровывать файлы и устанавливать программы-вымогатели.

В 130 кибератаках с использованием Telegram в качестве системы управления был использован троян удаленного доступа (RAT) ToxicEye. RAT — вредоносное ПО, которое предоставляет злоумышленнику полный контроль над системой жертвы. ToxicEye управляется злоумышленником через Telegram, связывается с сервером хакера и пересылает на него данные. Троян распространяется через фишинговые электронные письма с вредоносными EXE-файлами. После того, как получатель открывает вложение, ToxicEye устанавливается на компьютер и выполняет ряд эксплойтов без ведома пользователя.

Команда Check Point Research смогла идентифицировать ряд ключевых моментов, которые характеризуют большинство недавних атак:

  • Кража данных — RAT может находить и похищать пароли, информацию о компьютере, историю браузера и куки-файлы;
  • Управление файловой системой — удаление и передача файлов, завершение процессов ПК, использование диспетчера задач ПК;
  • Перехват ввода / вывода — RAT может применять кейлогер или записывать аудио и видео окружения пользователя через микрофон и камеру ПК, а также получать доступ к содержимому буфера обмена.
  • Установка программ-вымогателей — возможность зашифровать и расшифровывать файлы.

Последнее исследование CPR показало рост популярности вредоносных программ на основе Telegram. Приложение входит в десятку самых скачиваемых в мире, а количество его активных пользователей превышает 500 миллионов. Например, только в репозиториях инструментов для хакеров GitHub были обнаружены десятки новых типов вредоносных программ на основе Telegram. Многие киберпреступники считают данное приложение важной частью своих атак из-за ряда его операционных преимуществ:

  • Отсутствие блокировки. Telegram — законный простой в использовании и стабильный сервис, который не блокируется корпоративными антивирусными «движками» или инструментами управления сетью.
  • Анонимность. Злоумышленники могут оставаться анонимными, поскольку для регистрации требуется только номер мобильного телефона.
    Легкая эксфильтрация. Благодаря уникальным коммуникационным функциям Telegram злоумышленники могут легко извлекать данные с компьютеров или передавать новые вредоносные файлы на зараженные устройства.
  • Доступность. Telegram также позволяет злоумышленникам использовать свои мобильные устройства для доступа к зараженным компьютерам практически из любой точки мира.

«Мы настоятельно призываем организации и пользователей Telegram быть в курсе последних новостей о фишинговых атаках и относиться с большим подозрением к письмам, в тему которых встроено имя пользователя или организации, — комментирует Идан Шараби, менеджер группы исследований и разработок Check Point Software Technologies. — Учитывая, что Telegram можно использовать для распространения вредоносных файлов или как канал управления и контроля за вредоносным ПО, мы ожидаем, что в будущем злоумышленники продолжат разрабатывать дополнительные инструменты, использующие эту платформу».

Советы безопасности:


  1. Запустите поиск файла с именем «C: \ Users \ ToxicEye \ rat.exe» — если он есть на компьютере, то устройство заражено, и следует немедленно обратиться в службу поддержки, чтобы удалить этот файл из системы.
  2. Анализируйте трафик с ПК — если его часть связана с C&C Telegram, а Telegram не установлен в качестве корпоративного решения, возможно, компьютер скомпрометирован.
  3. Остерегайтесь вложений, которые содержат имена пользователей в названиях файлов. Они указывают на подозрительные электронные письма, лучше сразу не открывая их удалить.
  4. Ищите нераскрытых или неуказанных получателей — если у адресатов нет имен, или они не указаны — это явный признак того, что это электронное письмо может быть вредоносным.
  5. Всегда обращайте внимание на ошибки в сообщении. Методы социальной инженерии созданы для того, чтобы использовать человеческую природу — например, люди с большей вероятностью совершают ошибки, когда они спешат и склонны выполнять приказы людей, наделенных властью. Фишинговые атаки обычно используют эти методы, чтобы убедить жертв игнорировать подозрения и кликнуть на ссылку или открыть вложение.
  6. Разверните автоматизированное антифишинговое решение. Для минимизации риска фишинговых атак на организацию лучше выбирать ПО на основе искусственного интеллекта, которое будет способно выявлять и блокировать фишинговый контент во всех коммуникационных сервисах организации (в электронной почте, приложениях для повышения производительности и т.д.) и на платформах (рабочих станциях сотрудников, мобильных устройствах и др.). Такое всестороннее покрытие необходимо, т.к. фишинговый контент может поступать на любой носитель, а с повсеместным использованием мобильных устройств сотрудники становятся еще более уязвимы.