Обновлено в 13:50
Телеграмная крыса поедает данные. О новом вирусе-шпионе рассказали в компании Positive Technologies. Вредоносная программа под названием TgRAT может делать снимки экрана, скачивать новые файлы на зараженный компьютер, загружать данные с него на управляющий сервер, откуда их забирают злоумышленники.
При этом вредоносная программа управляется через Telegram, но на компьютер она попадает другим способом. К примеру, при скачивании зараженного файла из интернета или при открытии фишинговой ссылки.
О вирусе рассказывает руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Денис Гойденко:
Денис Гойденко руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies «Вирус попадает в устройство так же, как и любые другие программы. Его нужно принести сначала, а потом запустить. Что вирус что-то сам по себе делает, такого не бывает. Раньше было такое, часто встречалось, сейчас большая редкость из-за того, что такое сложно делать. Поэтому в основном вирус — это программа, которую нужно запустить. Особенность этого вируса в том, что основное управление этим вирусом и тем, что он умеет делать, происходит через Telegram-канал. Опасность такой реализации в том, что много людей пользуются Telegram-каналами и вообще Telegram. Таким образом, очень сложно выявить трафики в том, что у вас происходит в компьютерной сети, отделить хорошее от плохого. Отличие только в канале управления, в остальном же в его функциональности особенностей нет. Единственное, что можно отметить как особенность, очень важно то, что этот вирус собирается конкретно под определенную цель, конкретно под определенную компанию».
Эксперты говорят, что чем больше компании применяют в своей работе Telegram, тем чаще злоумышленники будут пытаться использовать серверы мессенджера для скрытого управления вредоносными программами и кражи конфиденциальной информации. О том, как работают подобные программы, рассказывает управляющий RTM Group Евгений Царев:
Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в IT «Есть такая категория вредоносов, их еще называют ратники. Это приложения, которые позволяют удаленно управлять каким-то узлом. Приложение устанавливается на компьютер, и кто-то издалека может подключиться к этой машине и увидеть экран, увидеть, как вы водите мышкой. По сути, здесь тоже ратник, но он с очень ограниченным функционалом, по всей видимости, он писался под конкретные машины, под конкретные задачи. Он умеет делать не очень много, но ровно то, что злоумышленникам и надо, потому что в этом приложении есть проверка имени машины, он проверяет на ту ли машину встал вредонос. Если он встал на ту машину, то начинаются дальнейшие действия. Из интересного — использование сервера, то есть в качестве сервера выбран Telegram, а конкретно закрытая группа в Telegram, куда после установки, после проверки имени машины приложение стучится и говорит: все, я установился туда, где я и должен был встать, и могу делать то, что должен делать. И начинает после этого сбрасывать файлы, делать снимки экрана, то, что злоумышленники и хотели сделать. Если говорить про то, куда может этот ратник встать, ему очень сложно встать туда, где стоит антивирусное средство с обновлениями. Он нацелен на специальные машины, которые не очень-то защищены. Если мы говорим про корпоративный сектор, если информационная безопасность построена корректно, его отловят, с этим проблем совершенно точно не возникнет».
Вирус TgRAT был создан для компьютеров, работающих на Windows, и украсть информацию со смартфона или планшета не сможет. При этом подобные программы существуют и для гаджетов. Чтобы защитить свои данные, эксперты рекомендуют регулярно обновлять антивирус.