Специалисты Netskope наткнулись на новую вредоносную программу, которой дали имя TelegramRAT. Такое имя зловред получил благодаря своей особенности — он использует популярный мессенджер Telegram как командный центр (C&C).
Исследователи отмечают, что TelegramRAT использует облачные сервисы для того, чтобы избежать обнаружения антивирусными средствами, у которых нет возможности проанализировать SSL. Схема распространения этого вредоноса довольно популярна — используется вредоносный документ Microsoft Office, в который внедрена функция эксплуатации уязвимости CVE-2017-11882.
Помимо этого, сам пейлоад TelegramRAT находится в облаке Dropbox, он создан на базе размещенного на GitHub Python-кода. Использование Telegram BOT API является ключевым моментом в работе этой новой вредоносной программы, благодаря этому сообщения отправляются по защищенному протоколу HTTPS.
Как раз такая тактика и позволяет TelegramRAT избежать детектирования антивирусными средствами.