Совершенно новое предупреждение сегодня, когда миллионы из вас разоблачены как новая вредоносная угроза, использующая Telegram для нацеливания на вас опасных вредоносных программ, даже если вы не являетесь пользователем. Если вы подвергнетесь этой кибератаке, вы рискуете кражей данных, шпионским программным обеспечением, программами-вымогателями и даже полным захватом системы. Вот как проверить, инфицированы ли вы.
В прошлом году Павел Дуров из Telegram предупредил, что « использование WhatsApp опасно ». Но теперь эта провокационная атака снова укусила. В новом отчете по безопасности, опубликованном сегодня, содержится предупреждение о «растущей киберугрозе, когда хакеры используют Telegram, приложение для обмена мгновенными сообщениями с более чем 500 миллионами активных пользователей, в качестве системы управления и контроля».
Предупреждение Дурова в WhatsApp касалось взлома самого принадлежащего Facebook мессенджера, где, по его словам, были заложены бэкдоры для извлечения пользовательских данных. Он также предупредил пользователей WhatsApp об отсутствии резервных копий с сквозным шифрованием. Это были очень целенаправленные, очень специфические атаки, совершенные изощренными злоумышленниками.
В более широком смысле использование мессенджеров для распространения вредоносных программ не новость. Ранее в этом месяце Check Point предупредила, что мошенническое приложение для обхода безопасности Netflix в магазине Google Play злоупотребляет « службой прослушивания уведомлений » Android для перехвата входящих сообщений WhatsApp на телефоны жертв, а затем автоматически отвечает на эти сообщения с помощью опасных вредоносных программ. вложения и ссылки.
Очевидно, что у Telegram такой же риск - любой мессенджер может быть использован для отправки опасных сообщений, вложений и ссылок, и вы всегда должны опасаться ссылок и вложений, даже если они кажутся исходящими от друзей. Но с Telegram есть гораздо более серьезные опасности, которые нельзя устранить одним лишь здравым смыслом пользователя.
Telegram значительно сложнее, чем его прямые конкуренты, такие как Facebook Messenger, WhatsApp, iMessage и Signal. Его архитектура теперь обслуживает более 500 миллионов пользователей через паутину подключенных конечных точек и собственное облачное хранилище. Он предоставляет безграничные группы и каналы, а также ряд других сложных функций, включая собственную «бот-платформу».
Как объясняет Telegram , «боты - это просто учетные записи Telegram, управляемые программным обеспечением, а не людьми», и они часто имеют функции искусственного интеллекта. Они могут делать что угодно - обучать, играть, искать, транслировать, напоминать, подключаться, интегрироваться с другими службами или даже передавать команды в Интернет вещей ». К сожалению, это не все, на что способны эти боты.
Компания Check Point, которая также выпустила это новое предупреждение Telegram, сообщает, что за последние три месяца она «отследила 130 кибератак, в которых использовалось вредоносное ПО, управляемое злоумышленниками через Telegram ... Даже если Telegram не установлен или не используется, он позволяет хакерам отправлять сообщения. вредоносные команды и операции удаленно через приложение для обмена мгновенными сообщениями».
Само вредоносное ПО не распространяется через сообщения Telegram, поэтому, как заявляет Check Point, не имеет значения, установлено оно у вас или нет. Угрозы отправляются пользователям через простые рассылки по электронной почте. Но как только созданное вложение электронной почты открывается на ПК пользователя с Windows, связанный бот Telegram управляет обратными ссылками на сервер управления и контроля злоумышленника, управляя атакой.
Как заявляет Check Point, «популярность вредоносного ПО на основе Telegram, связанная с растущим использованием службы обмена сообщениями во всем мире» стала «растущей тенденцией», и эта тенденция становится все хуже. «Десятки новых типов вредоносного ПО на основе Telegram были обнаружены как готовое оружие в репозиториях хакерских инструментов на GitHub».
Telegram дает злоумышленникам и их кампаниям ряд преимуществ, в первую очередь то, что платформа известна и пользуется доверием, а значит, сможет избежать многих защит. «Telegram - это законный, простой в использовании и стабильный сервис, который не блокируется корпоративными антивирусными ядрами или инструментами управления сетью», - заявляет Check Point.
Кроме того, злоумышленник может легко создать нового бота, не раскрывая идентифицирующую информацию, что значительно усложняет атрибуцию и перехват. База установки Telegram также обширна и быстро растет, что позволяет злоумышленникам «использовать свои мобильные устройства для доступа к зараженным компьютерам практически из любого места по всему миру».
Этот вектор угрозы не нов. Такое использование ботов Telegram насчитывает несколько лет . Но, как теперь ясно показал Check Point, несмотря на это проблема не решена. «Мы считаем, что злоумышленники используют тот факт, что Telegram используется и разрешен почти во всех организациях, используя эту систему для выполнения кибератак, которые могут обойти ограничения безопасности», - говорит Идан Шараби из Check Point.
Специфическим вредоносным ПО, идентифицированным Check Point, является «ToxicEye», новый троян удаленного доступа или RAT . Этот RAT может не только украсть данные или начать блокировку файлов пользователя программой-вымогателем, но и захватить микрофон и камеру на ПК. Пользователи Windows могут выполнить поиск «C: \ Users \ ToxicEye \ rat.exe» в своих системах, чтобы узнать, не были ли они заражены.
Если у вас есть этот файл, вам необходимо удалить его и немедленно обратиться за консультацией в службу ИТ-поддержки вашей компании, если это рабочая машина. Если он находится на домашнем ПК, обязательно как можно скорее установите и запустите качественную антивирусную программу.
Шараби сказал мне, что как отдельные лица, так и организации подвергаются риску этих атак с использованием Telegram, предполагая, что «связь Telegram может быть заблокирована для защиты от этого типа угроз. Каждый человек или администратор безопасности должен устранять эту угрозу в соответствии с желаемой политикой безопасности».
Конечно, другой важный совет - все тот же старый «не открывайте вложения электронной почты», если вы не уверены в отправителе и сообщении. Эти атаки были на ПК с Windows, и вы в любом случае должны использовать какое-либо программное обеспечение для обеспечения безопасности.
Check Point заявляет, что не раскрывала последние результаты Telegram, поскольку в программном обеспечении мессенджера нет уязвимостей - это использование законной функции в злонамеренных целях. Тем не менее, я связался с Telegram перед публикацией, чтобы спросить, будут ли добавлены какие-либо меры по снижению рисков на платформе. Это известная проблема, и ее боты явно изобилуют злоупотреблениями, используя доброе имя Telegram для уклонения от индивидуальных и организационных мер безопасности.
«Учитывая, что Telegram можно использовать для распространения вредоносных файлов, - предупреждает Шараби, - или как канал управления и контроля для удаленно контролируемых вредоносных программ, мы полностью ожидаем, что в будущем будут и дальше разрабатываться дополнительные инструменты, использующие эту платформу».
Таким образом, этот вектор атаки должен быть остановлен, или организациям следует внимательно следить за тем, чтобы запретить Telegram в своих сетях, чтобы снизить риск, и последствия этого будут ужасными для Telegram и его сотен миллионов пользователей.
Битва за обмен сообщениями продолжается и обещает обостриться снова в следующем месяце, когда начнется принудительное изменение условий использования Facebook для пользователей WhatsApp. «Никто никогда не приглашал Big Tech присоединиться к групповому чату», - написал на этой неделе Signal в твиттере с тонко завуалированной атакой на WhatsApp , «Но они все еще остаются и знают, что происходит. Сигнал ничего не знает. Частные группы защищают имена ваших групп, членство в группах, групповые сообщения и даже аватар группы с помощью сквозного шифрования ».
Но, пожалуй, наиболее яркой иллюстрацией различных подходов к обеспечению безопасности стало обращение Signal с Cellebrite на этой неделе. В конце прошлого года охранная фирма, разрабатывающая программное обеспечение для эксфильтрации данных с устройств через физическое соединение, хвасталась, что добавила Signal в свой целевой список. Сигнал тогда сильно отодвинулся .