Основы Интернет - технологий.

Команда исследователей Check Point обнаружила, что мессенджер Telegram используется в качестве управляющего сервера для трояна удаленного доступа (RAT) ToxicEye.  Даже когда Telegram не установлен или не используется, хакерам удается удаленно передавать команды малвари и совершать операции через приложение. За последние три месяца исследователи отследили более 130 таких кибератак.

Операторы ToxicEye распространяют свою малварь, маскируя ее под почтовые вложения. Получив доступ к системе жертвы и ее данным, они также получают возможность устанавливать на устройство другую малварь.

Как правило, атака происходит следующим образом.

• 
  
• Злоумышленник начинает с создания учетной записи и специального бота в Telegram.
  
• Токен бота связывается с выбранной малварью.
  
• Затем вредонос распространяется через спам-рассылки в виде вложения. Например, один из таких фалов, который идентифицировали эксперты, назывался «PayPal Checker by saint.exe».
  
• Далее потенциальная жертва открывает вредоносное вложение, и оно подключается к Telegram. Любое устройство, зараженное ToxicEye, может быть атаковано посредством Telegram-бота, который связывает пользователя с C&C-сервером злоумышленников.
  
• Хакер получает возможность: управлять файлами, в том числе и удалять их, похищать данные (например, из буфера обмена, пароли, информацию о компьютере, историю браузера и coockie), записывать аудио и видео, а также зашифровывать файлы и устанавливать вымогательское ПО.
  

Исследователи отмечают, что использование Telegram – это весьма умный шаг, та как ведь Telegram — это легитимный и простой в использовании сервис, который обычно не блокируется корпоративными антивирусными решениями. Также это позволяет преступникам оставаться анонимными, ведь для регистрации им требуется только номер мобильного телефона.