Обнаружен новый вирус-шпион с управлением через Telegram

Вредоносная программа TgRAT, использующая закрытые чаты в Telegram в качестве каналов управления, была выявлена в ходе одного из расследований, проведенного командой  Positive Technologies.

Исследование исходного кода показало, что обнаруженное ПО создано целенаправленно под конкретные устройства, с которых злоумышленники планируют похитить конфиденциальную информацию. Сначала TgRAT проверяет имя узла, на котором он запущен. Если имя не совпадает со значением, вшитым в тело программы, вредоносное ПО завершает работу.

На момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и на первых порах вирус может оставаться незамеченным для антивирусных средств. Для его обнаружения эксперты  рекомендуют использовать инструменты мониторинга трафика и обращать внимание на исходящий трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы. Кроме этого, необходимо наблюдать за потоком данных внутри сети (при таком подходе можно выявлять сетевые туннели и нестандартное общение между серверами), покрывать антивирусными средствами защиты все узлы в инфраструктуре и использовать песочницы.

«Во многих компаниях Telegram используют в качестве корпоративного мессенджера, что подталкивает злоумышленников к разработке средств эксплуатации Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации. Один из наиболее эффективных подходов к выявлению подобных каналов утечки — использование антивирусов на всех узлах, включая серверы, и применение систем глубокого анализа трафика (NTA) и песочниц (Sandbox), средств выявления угроз безопасности и реагирования на них на конечных точках (EDR). Кроме того, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс, который должен насторожить службу безопасности», — отметил Денис Гойденко, руководитель отдела реагирования на угрозы информационной безопасности, Positive Technologies.

Одним из основных способов проникновения злоумышленника в инфраструктуру по-прежнему является фишинг. Пользователям рекомендуется соблюдать осторожность, не открывать подозрительные письма, не переходить по неизвестным ссылкам, не загружать ПО с непроверенных сайтов и торрент-площадок, а пользоваться лицензионными версиями из доверенных источников. Организациям рекомендуется информировать сотрудников о различных видах фишинга и новых схемах мошенничества.

С заботой о вашей безопасности, команда Origin security

Один комментарий “Обнаружен новый вирус-шпион с управлением через Telegram”

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *