Майское обновление Telegram развязало руки злоумышленникам

Майское обновление Telegram развязало руки злоумышленникам

Майское обновление Telegram развязало руки злоумышленникам

Майское обновление Telegram добавило возможность подключения к групповым звонкам пользователей, не состоящих в самой группе. Однако, как выяснилось, эта функция может быть использована злоумышленниками для обхода механизмов безопасности мессенджера.

По словам Павла Коваленко, директора Центра противодействия мошенничеству компании «Информзащита», новая функция позволяет скрывать информацию о собеседнике — включая дату создания аккаунта, страну регистрации, а также аватарки организаторов и участников чата.

Это создало лазейку, которой активно начали пользоваться мошенники, — в первую очередь для инвестиционных схем и целенаправленного фишинга, направленного на сбор конфиденциальных данных и хищение средств.

«Групповые звонки преступники используют для продвинутых схем с применением DeepFake. Только за прошлый год мы зафиксировали рост подобных инцидентов на 13%, а за первые четыре месяца текущего года — уже на 25% больше, чем за аналогичный период 2024-го. Это связано с ростом доступности ИИ и улучшением качества сгенерированного контента, что усложняет выявление подделок», — пояснил Коваленко.

Алексей Ермаков, эксперт Российского университета спорта ГЦОЛИФК, отметил, что злоумышленники часто маскируются под легитимные организации. Рассылки с вредоносными ссылками и QR-кодами могут исходить от имени группового чата, что затрудняет распознавание угроз. Через такие QR-коды пользователей перенаправляют на фейковые сайты, с которых происходит кража данных и платёжной информации.

Игорь Бедеров, руководитель департамента информационно-аналитических исследований компании T.Hunter, уточнил, что в Telegram уже появилась функция, позволяющая просматривать основную информацию о новом собеседнике — страну регистрации и дату создания аккаунта. Это ограничивает возможности злоумышленников, однако подключение к групповому звонку позволяет обойти это ограничение. Более того, мошенник может писать от имени чата, что увеличивает степень анонимности.

«Групповые звонки — это удобный способ заманить жертву нестандартным методом. При подключении к видеоконференции многие пользователи не подозревают о возможной опасности и легче идут на контакт. Дополнительный интерес у преступников вызывает функция трансляции экрана, которая открывает новые возможности для массовых атак и синхронной работы с несколькими жертвами», — отметил Алексей Горелкин, генеральный директор Phishman.

Аналитик компании Positive Technologies Валерия Беседина добавила, что функция секретных чатов также часто используется для обхода политики безопасности: в этом режиме собеседник остаётся анонимным, и злоумышленник может выдать себя за доверенное лицо потенциальной жертвы.

Генеральный директор digital-агентства «Интериум» и руководитель рабочей группы при Общественном совете при Минцифры РФ по регулированию дипфейков Валерий Сидоренко обратил внимание, что каждый десятый пользователь Telegram подписан на 50 и более каналов. По его словам, мошенники активно используют цифровую зависимость и эмоциональное выгорание таких пользователей в своих целях.

Евгений Янов, руководитель департамента аудита и консалтинга компании F6, подчеркнул, что соблюдение базовых рекомендаций по цифровой безопасности значительно снижает риск. В частности, ограничение круга лиц, которые могут добавлять вас в чаты, полностью нейтрализует угрозу, если злоумышленник не находится у вас в контактах и не использует Premium-аккаунт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru