Хакеры начали атаковать россиян, подписанных на Telegram-каналы на тему финансов и трейдинга. Они прикрепляют к постам архивы с новым вирусом DarkMe, позволяющим удаленно выполнять команды с сервера злоумышленников и воровать данные. Мы выяснили, какие риски несут такие схемы и как защититься от них.
Атаки через каналы в Telegram
Хакеры начали рассылать вирусы-трояны через Telegram-каналы на тему финансов и трейдинга. Это делается с целью шпионажа и кражи данных, говорится в отчете экспертов Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Злоумышленники прикрепляют к постам в Telegram архивы с вредоносными файлами внутри (с расширениями вроде .ink, .com и .cmd). В случае если человек откроет их, на устройство загрузится вредоносное ПО — вирус DarkMe, позволяющий удаленно выполнять команды с сервера злоумышленников и воровать данные.
По словам экспертов, схема может выглядеть убедительной: многие пользователи считают, что скачивать файлы в Telegram менее опасно, чем просто в интернете. До этого хакеры заражали устройства и через другие платформы для общения, например Skype.
— При этом злоумышленники используют не только DarkMe, но и другие виды зловредов. Например, мы фиксировали случаи, когда под видом фото они распространяли новую модификацию мобильного банковского троянца для Android — Mamont. Так они пытались получить доступ к СМС жертв на зараженном смартфоне, а также к платежам с мобильного счета абонентов, — объясняет ведущий эксперт Kaspersky GReAT Татьяна Шишкова.
Для защиты от таких угроз она посоветовала частным пользователям установить антивирус от надежного поставщика. А компаниям —предоставлять специалистам по информационной безопасности доступ к свежей информации о киберугрозах, регулярно проводить обучающие тренинги для сотрудников, а также использовать комплексные линейки решений для обеспечения киберзащиты.
Цели мошенников
Как объясняет ведущий эксперт по сетевым угрозам, web-разработчик компании «Код Безопасности» Константин Горбунов, использование Telegram в качестве площадки для распространения вредоносного ПО привлекает хакеров по нескольким причинам. Во-первых, согласно исследованию компании Mediascope, проведенному в 2023 году, Telegram входит в топ-10 самых популярных интернет-ресурсов у россиян. Его используют и для личных целей, и для корпоративного общения.
Причем доля корпоративных чатов весьма велика, что подтверждает исследовательский центр портала SuperJob. По его данным, в прошлом году 82% компаний так или иначе использовали открытые мессенджеры для общения сотрудников.
— Еще одна причина распространения ВПО через Telegram — слабая валидация загружаемых файлов, то есть через мессенджер можно отправить вложение практически любого формата и содержания, — говорит эксперт.
При этом в тематических каналах у атакующих больше шансов найти наиболее уязвимую цель, добавляет руководитель группы анализа и выявления угроз кибербезопасности R-Vision Диана Кожушок. К примеру, вредоносное программное обеспечение (ВПО) DarkMe распространялось именно через финансовые Telegram-каналы, чтобы получить несанкционированный доступ к устройствам трейдеров.
— Это привело к утечке данных о финансовом рынке, личных данных клиентов и нарушению финансовых операций, что в свою очередь негативно сказалось на репутации и вызвало финансовые потери, — отмечает она.
Типы атак в Telegram
По словам Дианы Кожушок, атаки в Telegram можно условно разделить на две категории — целевые и массовые. Целевые атаки направлены на конкретных людей, например на сотрудников компаний. Они, как правило, более продуманы и адресованы определенным лицам.
— Например, были случаи, когда в мессенджерах рассылались сообщения якобы от лица генерального директора компании. Хакеры создавали поддельные аккаунты, чтобы ввести сотрудников компании в заблуждение. В сообщении злоумышленник мог начать обычный разговор, а затем сообщить, что сотруднику нужно будет пообщаться с правоохранительными органами по какому-то вопросу, и предложить обсудить этот вопрос заранее, — говорит руководитель группы анализа и выявления угроз кибербезопасности R-Vision.
Также в мессенджерах отправлялись файлы, например таблица с финансовыми данными, и предлагалось посмотреть на новую зарплату или проблемы в отчетах. Если пользователь попадался на фишинговую уловку, то мог либо сообщить конфиденциальные данные, либо загрузить файл, зараженный вирусом.
— Второй тип — массовые рассылки, которые создают киберпреступники, стремясь охватить как можно больше людей. В таких рассылках обычно используются простые психологические уловки, чтобы привлечь внимание пользователей, — рассказывает Кожушок.
Web-разработчик Горбунов называет отправку ВПО пользователям самой распространенной среди фишинговых рассылок. По данным «Кода Безопасности», за II квартал этого года на ее долю пришлось около 95%, в то время как доля писем с вредоносными ссылками составила менее 3%. Такая «популярность» вредоносных вложений обусловлена тем, что сообщения со ссылками требуют от жертвы дополнительных действий — необходимо перейти на мошеннический сайт, а также заполнить свои данные в специальной форме. Более того, так мошенник, скорее всего, получит доступ только к одному сервису.
— Но если получится убедить пользователя загрузить вредоносное ПО и запустить его на устройстве или ПК юзера, то мошенники получат полный доступ, в том числе к управлению файловой системой, просмотру сохраненных паролей в браузере и так далее, — заключает эксперт по кибербезопасности.
Вирусы в Telegram
В Telegram-каналах злоумышленники могут распространять различные виды вредоносного программного обеспечения. Среди наиболее распространенных Диана Кожушок выделяет шифровальщиков (ransomware) — программы, которые блокируют доступ к данным, требуя заплатить выкуп, — и ПО для слежки за пользователем (spyware). Оно может использоваться для кражи конфиденциальных данных или для психологического давления на жертву в рамках диалога по вымогательству.
— Третья «популярная» категория — программы для удаленного управления (RAT). К таким относится одно из последних вредоносных ПО — DarkMe, которое стало распространяться с начала 2024 года, — рассказывает эксперт.
Схема проста: мошенники рассылают пользователям вирусы-трояны, которые маскируются под легитимные приложения, но при запуске крадут личные данные пользователя или получают удаленный доступ к устройству, поясняет Константин Горбунов. Каждый год вирусы эволюционируют и пытаются адаптироваться к модернизирующимся средствам защиты, однако цели распространения такого ПО остаются неизменными — получить доступ к конфиденциальным данным и, уже имея их, совершать дальнейшие киберпреступления.
— К примеру, совсем недавно получила популярность схема, когда мошенники под видом фото отправляют в Telegram вредоносный файл и просят жертву определить, есть ли она на изображении. На деле же «фото» представляет APK-файл, который при нажатии устанавливается на устройство и маскируется под банковский софт. Такое ПО может записывать активности на дисплее, делать скриншоты и красть изображения.
Способы защиты
Для защиты от мошенников в Telegram эксперты советуют использовать двухфакторную аутентификацию — это поможет предотвратить несанкционированный доступ к учетной записи.
— Для предотвращения загрузки вредоносных файлов на устройство без вашего ведома лучше отключить функцию автозагрузки медиа. При скачивании файлов обращайте внимание на их источник и расширение, — говорит Диана Кожушок.
В свою очередь, Константин Горбунов рекомендует скачивать файлы из вложений только от проверенных контактов, но даже в таком случае обязательно проверять их антивирусом перед открытием. Ведь под видом родственника или друга может скрываться мошенник, например, если получит доступ к аккаунту или подделает аудио- и видеосообщение с помощью дипфейк-технологий. Несмотря на то что эти технологии еще развиваются, отличить подделку очень сложно, поэтому всегда нужно анализировать, насколько поведение «собеседника» соответствует его обычному шаблону и не выглядят ли его сообщения странными.
— Для безопасности корпоративного общения эти рекомендации также актуальны, однако самый надежный способ минимизировать риски, связанные с утечкой чувствительных данных, — перевести деловые коммуникации в корпоративные мессенджеры, — заключает эксперт.
iz
Оценили 13 человек
16 кармы