Обнаружен вредонос-шпион с управлением через Telegram

Олеся Афанасьева 06 Декабря 2022 - 17:13

...

Обнаружен вредонос-шпион с управлением через Telegram

Вредоносная программа TgRAT пишется под конкретный компьютер, каналами управления становятся закрытые чаты в Telegram. Зловреда обнаружили эксперты Positive Technologies. Вирус умеет скачивать файлы, делать скриншоты экрана и “усыплять” устройство.

Во многих компаниях Telegram используют в качестве корпоративного мессенджера. Киберпреступники придумали, как использовать Telegram API для скрытого управления бэкдорами и выгрузки конфиденциальной информации.

Новый вредонос TgRAT проникает на компьютер и сразу проверяет имя узла, на котором он запущен. Если данные не совпадает со значением, вшитым в тело программы, TgRAT завершает работу. К такому выводу пришли аналитики компании Positive Technologies, изучив исходный код нового вируса.

Анализ показал, что файл с полезной нагрузкой представляет собой небольшой RAT, который использует Telegram в качестве контрольного сервера. Им является закрытая группа в мессенджере, коммуникация осуществляется с помощью Telegram API.

Токен и ID чата для коммуникации могут быть считаны из файла с именем token.sys, который должен лежать в каталоге с вредоносом. В случае если файла нет, программа использует те токен и ID, которые содержатся в коде.

Установив соединение, вредонос получает имена команд и аргументы (при необходимости).

Эксперты обращают внимание на формат хранения и исполнения команд. На этапе инициализации необходимых параметров, переменных и библиотек, TgRAT формирует структуру данных определенного вида, идентичную map.

Эта структура хранит, кроме служебных полей, указатели на функции, которые будут отвечать за выполнение команд. Она используется для маппинга имени команды, которое приходит с управляющего сервера (Telegram-чата) на функцию.

Вирус-шпион выполняет команды:

получение информации о зараженном компьютере;
подключение (bind) к определенной группе в Telegram, служебное сообщение об ошибке подключения;
самозавершение (kill);
сохранение сообщения в виде файла;
самообновление;
запуск шелла;
выполнение команды в шелле и сохранение результата в виде файла;
запуск процесса;
сон в течение определенного времени;
перезапуск бота;
скачивание файла;
снимок экрана.

Несмотря на то, что хакеры используют легитимные протоколы для управления своими инструментами и для выгрузки данных, эту атаку можно легко выявить при минимальном уровне мониторинга трафика, отмечают эксперты.

При этом, говорится в сообщении Positive Technologies, на момент проведения расследования исходный код TgRAT отсутствовал в публичных источниках, и пока вредонос может не детектироваться антивирусными средствами.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Июня 2026 - 20:03

Корпорации Системы защиты данных от потери Системы резервного копирования и восстановление данных Киберпротект

Киберпротект отметил 10-летие на партнёрском Кибер Форуме

Компания «Киберпротект» провела IV ежегодную партнёрскую конференцию «Кибер Форум». В этом году мероприятие получилось особенным: разработчик решений для резервного копирования и защиты данных отмечает десятилетие со дня основания. Площадкой для встречи стал Дом Союзов в центре Москвы — историческое здание на Большой Дмитровке, которое за несколько веков успело стать свидетелем множества значимых событий.

Именно здесь собрались партнёры, дистрибьюторы, представители ИТ-компаний, отраслевых организаций и СМИ.

Открывая форум, генеральный директор «Киберпротекта» Алексей Бадаев поблагодарил партнёров за многолетнее сотрудничество и отметил, что многие инициативы, которые когда-то начинались как совместные идеи, со временем превратились в масштабные проекты.

Деловая часть мероприятия была посвящена обсуждению текущей ситуации на рынке, развитию технологий защиты данных и дальнейшему взаимодействию участников экосистемы компании. Отдельное внимание уделили вопросам киберустойчивости и роли партнёрских программ в развитии отечественных ИТ-решений.

Одним из ключевых событий вечера стало вручение премии «Кибер Герой», учреждённой компанией для партнёров и дистрибьюторов. Награды получили 16 компаний в пяти номинациях. Среди лауреатов — Yandex Cloud, VK Tech, «Инфосистемы Джет», «Софтлайн Решения» и другие участники рынка.

Сегодня партнёрская сеть «Киберпротекта» объединяет более 2000 компаний в России и Беларуси. В неё входят системные интеграторы, дистрибьюторы и технологические партнёры, которые участвуют во внедрении решений для резервного копирования и защиты данных в организациях различных отраслей.

По словам директора департамента информационной безопасности и программного обеспечения OCS Ольги Скуловой, сотрудничество между компаниями продолжается уже много лет, а развитие совместных проектов остаётся важной частью работы по обеспечению киберустойчивости российских заказчиков.

Завершился форум неформальным общением участников, которые смогли обсудить итоги года и планы на будущее уже вне рамок деловой программы.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!