Команда Check Point Research отследила 130 атак с использованием Telegram

26.04.2021

Команда исследователей Check Point Research (CPR), подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, сообщает о растущем числе киберугроз, связанных с применением мессенджера Telegram в качестве системы управления и контроля для удаленного распространения вредоносного ПО. Даже когда Telegram не установлен или не используется, хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение. За последние три месяца в CPR отследили более 130 кибератак, в которых злоумышленники управляли трояном удаленного доступа (RAT) ToxicEye через Telegram. Злоумышленники распространяли вредоносы, маскируя их под вложения электронной почты, и через эту активность получали доступ к системе, данным, а также могли устанавливать на устройства программы-вымогатели.

Атака происходит следующим образом:

- Злоумышленник начинает с создания учетной записи и специального бота в приложении. Аккаунт бота в Telegram — это специальная удаленная учетная запись, в которой пользователи могут взаимодействовать с помощью чата Telegram или через добавление в группы мессенджера.

- Токен бота связывается с выбранной вредоносной программой.

- Затем вредоносное ПО распространяются через спам-рассылку в виде вложения электронной почты. Например, один из таких фалов, который идентифицировали специалисты CPR, назывался «PayPal Checker by saint.exe».

- Далее предполагается, что потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное этим вредоносным содержимым, может быть атаковано через бот Telegram, который подключает пользователя обратно к C&C злоумышленника.

- И тогда хакер получает возможность выполнять ряд вредоносных действий: управлять файлами, в том числе и удалять их, красть данные, например, из буфера обмена, аудио и видео, а также зашифровывать файлы и устанавливать программы-вымогатели.

В 130 кибератаках с использованием Telegram в качестве системы управления был использован троян удаленного доступа (RAT) ToxicEye. RAT — вредоносное ПО, которое предоставляет злоумышленнику полный контроль над системой жертвы. ToxicEye управляется злоумышленником через Telegram, связывается с сервером хакера и пересылает на него данные. Троян распространяется через фишинговые электронные письма с вредоносными EXE-файлами. После того, как получатель открывает вложение, ToxicEye устанавливается на компьютер и выполняет ряд эксплойтов без ведома пользователя.

Команда Check Point Research смогла идентифицировать ряд ключевых моментов, которые характеризуют большинство недавних атак:

∙ Кража данных — RAT может находить и похищать пароли, информацию о компьютере, историю браузера и куки-файлы;

∙ Управление файловой системой — удаление и передача файлов, завершение процессов ПК, использование диспетчера задач ПК;

∙ Перехват ввода / вывода — RAT может применять кейлогер или записывать аудио и видео окружения пользователя через микрофон и камеру ПК, а также получать доступ к содержимому буфера обмена.

∙ Установка программ-вымогателей — возможность зашифровать и расшифровывать файлы.

Последнее исследование CPR показало рост популярности вредоносных программ на основе Telegram. Приложение входит в десятку самых скачиваемых в мире, а количество его активных пользователей превышает 500 миллионов. Например, только в репозиториях инструментов для хакеров GitHub были обнаружены десятки новых типов вредоносных программ на основе Telegram. Многие киберпреступники считают данное приложение важной частью своих атак из-за ряда его операционных преимуществ:

∙ Отсутствие блокировки. Telegram — законный простой в использовании и стабильный сервис, который не блокируется корпоративными антивирусными «движками» или инструментами управления сетью.

∙ Анонимность. Злоумышленники могут оставаться анонимными, поскольку для регистрации требуется только номер мобильного телефона.

∙ Легкая эксфильтрация. Благодаря уникальным коммуникационным функциям Telegram злоумышленники могут легко извлекать данные с компьютеров или передавать новые вредоносные файлы на зараженные устройства.

∙ Доступность. Telegram также позволяет злоумышленникам использовать свои мобильные устройства для доступа к зараженным компьютерам практически из любой точки мира.

«Мы настоятельно призываем организации и пользователей Telegram быть в курсе последних новостей о фишинговых атаках и относиться с большим подозрением к письмам, в тему которых встроено имя пользователя или организации, — комментирует Идан Шараби, менеджер группы исследований и разработок Check Point Software Technologies. — Учитывая, что Telegram можно использовать для распространения вредоносных файлов или как канал управления и контроля за вредоносным ПО, мы ожидаем, что в будущем злоумышленники продолжат разрабатывать дополнительные инструменты, использующие эту платформу».

Советы безопасности:

1. Запустите поиск файла с именем «C: \ Users \ ToxicEye \ rat.exe» — если он есть на компьютере, то устройство заражено, и следует немедленно обратиться в службу поддержки, чтобы удалить этот файл из системы.

2. Анализируйте трафик с ПК — если его часть связана с C&C Telegram, а Telegram не установлен в качестве корпоративного решения, возможно, компьютер скомпрометирован.

3. Остерегайтесь вложений, которые содержат имена пользователей в названиях файлов. Они указывают на подозрительные электронные письма, лучше сразу не открывая их удалить.

4. Ищите нераскрытых или неуказанных получателей — если у адресатов нет имен, или они не указаны — это явный признак того, что это электронное письмо может быть вредоносным.

5. Всегда обращайте внимание на ошибки в сообщении. Методы социальной инженерии созданы для того, чтобы использовать человеческую природу — например, люди с большей вероятностью совершают ошибки, когда они спешат и склонны выполнять приказы людей, наделенных властью. Фишинговые атаки обычно используют эти методы, чтобы убедить жертв игнорировать подозрения и кликнуть на ссылку или открыть вложение.

6. Разверните автоматизированное антифишинговое решение. Для минимизации риска фишинговых атак на организацию лучше выбирать ПО на основе искусственного интеллекта, которое будет способно выявлять и блокировать фишинговый контент во всех коммуникационных сервисах организации (в электронной почте, приложениях для повышения производительности и т.д.) и на платформах (рабочих станциях сотрудников, мобильных устройствах и др.). Такое всестороннее покрытие необходимо, т.к. фишинговый контент может поступать на любой носитель, а с повсеместным использованием мобильных устройств сотрудники становятся еще более уязвимы.

Пресс-служба Check Point Software Technologies Ltd.

Тема:Безопасность