Команда Check Point Research отследила 130 атак с использованием Telegram26.04.2021 Команда исследователей Check Point Research (CPR), подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, сообщает о растущем числе киберугроз, связанных с применением мессенджера Telegram в качестве системы управления и контроля для удаленного распространения вредоносного ПО. Даже когда Telegram не установлен или не используется, хакерам удается удаленно отправлять вредоносные команды и совершать операции через приложение. За последние три месяца в CPR отследили более 130 кибератак, в которых злоумышленники управляли трояном удаленного доступа (RAT) ToxicEye через Telegram. Злоумышленники распространяли вредоносы, маскируя их под вложения электронной почты, и через эту активность получали доступ к системе, данным, а также могли устанавливать на устройства программы-вымогатели.
Атака происходит следующим образом:
- Злоумышленник начинает с создания учетной записи и специального бота в приложении. Аккаунт бота в Telegram — это специальная удаленная учетная запись, в которой пользователи могут взаимодействовать с помощью чата Telegram или через добавление в группы мессенджера. - Токен бота связывается с выбранной вредоносной программой. - Затем вредоносное ПО распространяются через спам-рассылку в виде вложения электронной почты. Например, один из таких фалов, который идентифицировали специалисты CPR, назывался «PayPal Checker by saint.exe». - Далее предполагается, что потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное этим вредоносным содержимым, может быть атаковано через бот Telegram, который подключает пользователя обратно к C&C злоумышленника. - И тогда хакер получает возможность выполнять ряд вредоносных действий: управлять файлами, в том числе и удалять их, красть данные, например, из буфера обмена, аудио и видео, а также зашифровывать файлы и устанавливать программы-вымогатели.
В 130 кибератаках с использованием Telegram в качестве системы управления был использован троян удаленного доступа (RAT) ToxicEye. RAT — вредоносное ПО, которое предоставляет злоумышленнику полный контроль над системой жертвы. ToxicEye управляется злоумышленником через Telegram, связывается с сервером хакера и пересылает на него данные. Троян распространяется через фишинговые электронные письма с вредоносными EXE-файлами. После того, как получатель открывает вложение, ToxicEye устанавливается на компьютер и выполняет ряд эксплойтов без ведома пользователя. Команда Check Point Research смогла идентифицировать ряд ключевых моментов, которые характеризуют большинство недавних атак:
∙ Кража данных — RAT может находить и похищать пароли, информацию о компьютере, историю браузера и куки-файлы; ∙ Управление файловой системой — удаление и передача файлов, завершение процессов ПК, использование диспетчера задач ПК; ∙ Перехват ввода / вывода — RAT может применять кейлогер или записывать аудио и видео окружения пользователя через микрофон и камеру ПК, а также получать доступ к содержимому буфера обмена. ∙ Установка программ-вымогателей — возможность зашифровать и расшифровывать файлы.
Последнее исследование CPR показало рост популярности вредоносных программ на основе Telegram. Приложение входит в десятку самых скачиваемых в мире, а количество его активных пользователей превышает 500 миллионов. Например, только в репозиториях инструментов для хакеров GitHub были обнаружены десятки новых типов вредоносных программ на основе Telegram. Многие киберпреступники считают данное приложение важной частью своих атак из-за ряда его операционных преимуществ: ∙ Отсутствие блокировки. Telegram — законный простой в использовании и стабильный сервис, который не блокируется корпоративными антивирусными «движками» или инструментами управления сетью. ∙ Анонимность. Злоумышленники могут оставаться анонимными, поскольку для регистрации требуется только номер мобильного телефона. ∙ Легкая эксфильтрация. Благодаря уникальным коммуникационным функциям Telegram злоумышленники могут легко извлекать данные с компьютеров или передавать новые вредоносные файлы на зараженные устройства. ∙ Доступность. Telegram также позволяет злоумышленникам использовать свои мобильные устройства для доступа к зараженным компьютерам практически из любой точки мира.
«Мы настоятельно призываем организации и пользователей Telegram быть в курсе последних новостей о фишинговых атаках и относиться с большим подозрением к письмам, в тему которых встроено имя пользователя или организации, — комментирует Идан Шараби, менеджер группы исследований и разработок Check Point Software Technologies. — Учитывая, что Telegram можно использовать для распространения вредоносных файлов или как канал управления и контроля за вредоносным ПО, мы ожидаем, что в будущем злоумышленники продолжат разрабатывать дополнительные инструменты, использующие эту платформу».
Советы безопасности: 1. Запустите поиск файла с именем «C: \ Users \ ToxicEye \ rat.exe» — если он есть на компьютере, то устройство заражено, и следует немедленно обратиться в службу поддержки, чтобы удалить этот файл из системы. 2. Анализируйте трафик с ПК — если его часть связана с C&C Telegram, а Telegram не установлен в качестве корпоративного решения, возможно, компьютер скомпрометирован. 3. Остерегайтесь вложений, которые содержат имена пользователей в названиях файлов. Они указывают на подозрительные электронные письма, лучше сразу не открывая их удалить. 4. Ищите нераскрытых или неуказанных получателей — если у адресатов нет имен, или они не указаны — это явный признак того, что это электронное письмо может быть вредоносным. 5. Всегда обращайте внимание на ошибки в сообщении. Методы социальной инженерии созданы для того, чтобы использовать человеческую природу — например, люди с большей вероятностью совершают ошибки, когда они спешат и склонны выполнять приказы людей, наделенных властью. Фишинговые атаки обычно используют эти методы, чтобы убедить жертв игнорировать подозрения и кликнуть на ссылку или открыть вложение. 6. Разверните автоматизированное антифишинговое решение. Для минимизации риска фишинговых атак на организацию лучше выбирать ПО на основе искусственного интеллекта, которое будет способно выявлять и блокировать фишинговый контент во всех коммуникационных сервисах организации (в электронной почте, приложениях для повышения производительности и т.д.) и на платформах (рабочих станциях сотрудников, мобильных устройствах и др.). Такое всестороннее покрытие необходимо, т.к. фишинговый контент может поступать на любой носитель, а с повсеместным использованием мобильных устройств сотрудники становятся еще более уязвимы.
Пресс-служба Check Point Software Technologies Ltd. Тема:Безопасность |
© 2014. ИТ-Текст. Все права защищены.