Обнаружен вредонос-шпион с управлением через Telegram

Обнаружен вредонос-шпион с управлением через Telegram

Обнаружен вредонос-шпион с управлением через Telegram

Вредоносная программа TgRAT пишется под конкретный компьютер, каналами управления становятся закрытые чаты в Telegram. Зловреда обнаружили эксперты Positive Technologies. Вирус умеет скачивать файлы, делать скриншоты экрана и “усыплять” устройство.

Во многих компаниях Telegram используют в качестве корпоративного мессенджера. Киберпреступники придумали, как использовать Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации.

Новый вредонос TgRAT проникает на компьютер и сразу проверяет имя узла, на котором он запущен. Если данные не совпадает со значением, вшитым в тело программы, TgRAT завершает работу. К такому выводу пришли аналитики компании Positive Technologies, изучив исходный код нового вируса.

Анализ показал, что файл с полезной нагрузкой представляет собой небольшой RAT, который использует Telegram в качестве контрольного сервера. Им является закрытая группа в мессенджере, коммуникация осуществляется с помощью Telegram API.

Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, программа использует те токен и ID, которые содержатся в коде.

Установив соединение, вредонос получает имена команд и аргументы (при необходимости).

Эксперты обращают внимание на формат хранения и исполнения команд. На этапе инициализации необходимых параметров, переменных и библиотек, TgRAT формирует структуру данных определенного вида, идентичную map.

Эта структура хранит, кроме служебных полей, указатели на функции, которые будут отвечать за выполнение команд. Она используется для маппинга имени команды, которое приходит с управляющего сервера (Telegram-чата) на функцию.

Вирус-шпион выполняет команды:

  • получение информации о зараженном компьютере;
  • подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
  • самозавершение (kill);
  • сохранение сообщения в виде файла;
  • самообновление;
  • запуск шелла;
  • выполнение команды в шелле и сохранение результата в виде файла;
  • запуск процесса;
  • сон в течение определенного времени;
  • перезапуск бота;
  • скачивание файла;
  • снимок экрана.

Несмотря на то, что хакеры используют легитимные протоколы для управления своими инструментами и для выгрузки данных, эту атаку можно легко выявить при минимальном уровне мониторинга трафика, отмечают эксперты.

При этом, говорится в сообщении Positive Technologies, на момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и пока вредонос может не детектироваться антивирусными средствами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сюй Чжицзюн поставил цель разработать 100 тысяч приложений для HarmonyOS

Председатель правления Huawei Сюй Чжицзюн на конференции компании, которая прошла в минувшую субботу, заявил, что целью на ближайший год является разработка 100 тысяч приложений для ОС Harmony.

Как отметил Сюй Чжицзюн, 100 тысяч приложений позволят создать зрелую экосистему для потребителей, которая включала бы не только то ПО, которое смогло бы удовлетворять базовые цифровые нужды, но и содержала бы персонализированные и эксклюзивные приложения.

Топ-менеджер призвал достичь данного уровня за ближайшие 6-12 месяцев.

В Reuters связывают ускорение темпов разработки ПО для Harmony с результатами президентских выборов в США. Вновь избранный президент Дональд Трамп настроен на обострение отношений с Китаем, о чем свидетельствует опыт его прошлого президентского срока.

Сам выпуск Harmony в 2019 году был вызван тем, что против Huawei тогдашние американские власти ввели жесткие санкции, которые в том числе привели к тому, что Huawei была отрезана от экосистемы Google.

Сюй Чжицзюн призвал государственные учреждения всех уровней, учреждения общественного сектора (образование, здравоохранение, социальной сферы) шире применять устройства на базе Harmony в повседневной работе.

Он признал, что в системе есть недоработки, но чем больше будет пользовательская база, тем быстрее эти недостатки будут устранены.

В настоящее время для данной операционной системы существует около 15 тысяч приложений. Разработка идет довольно быстрыми темпами: по данным издания Computer Base, изначально предполагалось к концу 2024 года довести количество приложений до 10 тысяч.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru