2022: Россияне столкнулись с распространяемым через Telegram вирусом-шпионом
В декабре 2022 года стало известно о том, что россияне столкнулись с распространяемым через Telegram вирусом-шпионом TgRAT. Как сообщили в компании Positive Technologies, вредоносная программа использует инфраструктуру Telegram в качестве каналов управления и может делать снимки экрана, скачивать файлы на атакуемый узел, загружать данные с узла на управляющий сервер.
По словам ИБ-экспертов, вирус создан под конкретные ПК, на которых планируется хищение информации. Он проверяет имя узла, на котором запущен, и при отсутствии совпадения имени с заданным в теле программы, завершает свою работу.
Для защиты от вируса-шпиона эксперты рекомендовали использовать программы для анализа трафика и обращать внимание на исходящий трафик с внутренних корпоративных серверов на серверы Telegram. Помимо этого, анализ трафика внутри сети позволит выявлять сетевые туннели и нестандартное общение между серверами и защитить узлы с помощью антивируса, отметили специалисты.
Как сообщил руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Денис Гойденко, популярность мессенджера во многих компаниях подталкивает злоумышленников к разработке средств эксплуатации Telegram для скрытого управления и кражи конфиденциальной информации. Одним из наиболее эффективных подходов к выявлению подобных каналов утечки эксперт назвал использование антивирусов на всех узлах, включая серверы и применение систем глубокого анализа трафика (NTA) и средства выявления и реагирования на угрозы безопасности на конечных точках (EDR). Кроме этого, трафик с внутренних серверов корпоративной инфраструктуры на Telegram-серверы — это уже подозрительный процесс и должен насторожить службу безопасности, пояснил Гойденко. [1]
Примечания
