Можно ли через телеграм поймать вирус
Преступники вспомнили старый прием для маскировки зловредов и атаковали пользователей Telegram, маскируя зловредов как картинки.
13 февраля 2018
Для многих из нас мессенджеры уже стали основным средством общения, чем, конечно же, активно пользуются злоумышленники, которые пытаются через эту форточку влезть на наши устройства — и в нашу жизнь. Совсем недавно мы рассказывали про Android-троян Skygofree, который среди прочего шпионит за Facebook Messenger, Skype, Viber, WhatsApp. Ну а сегодня поговорим про обнаруженную нашими экспертами новую многофункциональную заразу, которая предпочитает стационарные компьютеры и распространяется через Telegram — причем весьма хитроумным способом.
Одна из главных задач создателей троянов — убедить пользователя собственноручно запустить вредоносный файл. Для этого они маскируют опасные файлы как безобидные — и используют для этого почти что цирковые трюки.
В некоторых языках слова пишутся справа налево — например, в арабском или иврите. В Юникоде — стандартном наборе символов, который используется почти повсеместно, — на этот случай есть возможность изменить направление набора текста. Достаточно использовать специальный невидимый символ — и все буквы после него автоматически будут отображаться в обратном порядке. Именно этим и воспользовались злоумышленники.
Допустим, преступник создал некий вредоносный файл троян.js. Это файл Javascript с соответствующим расширением JS, в котором может оказаться какой угодно исполняемый код, — осторожный пользователь сразу заподозрит неладное и не станет его запускать. Однако мошенник может переименовать его, например, так: прикольная_картинка*U+202E*gnp.js. Здесь U+202E — тот самый символ Юникода, который следующие за ним буквы и знаки препинания напишет справа налево. В результате на экране название файла будет выглядеть так: прикольная_картинкаsj.jpg. Теперь кажется, что расширение файла — PNG, то есть что перед вами обычная картинка, но функционально это по-прежнему Javascript-троян.
Сам по себе трюк с применением Юникода для переименования файла не новый. Его использовали, чтобы маскировать зловредные вложения в электронных письмах и скачиваемые интернет-файлы, уже почти десять лет назад, и во многих средах от него уже успешно защитились — в них такое переименование не проходит. Но в Telegram его применили впервые — и оказалось, что это работает. То есть в Telegram есть (точнее, была) так называемая RLO-уязвимость, которую и нашли недавно наши исследователи.
Прикольная картинка превращается… в майнер или бэкдор
Увидели такое окно — задумайтесь
Вариант номер раз — скрытый майнинг. Компьютер будет тормозить и перегреваться, бросая все силы на добычу криптовалюты для злоумышленников. Вариант номер два — установка бэкдора, который позволяет преступникам управлять компьютером удаленно и делать с ним все, что захочется, — от удаления и установки любых программ до сбора ваших личных данных. Такая зараза может очень долго прятаться на устройстве, никак не выдавая свое присутствие.
Спокойствие, только спокойствие
Серьезная угроза
В популярном среди россиян мессенджере Telegram появился новый опасный вирус — троян FatalRAT. Его вычислили и описали эксперты по кибербезопасности из подразделения Alien Labs компании AT&T.
Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.
Троян спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ.
Образцы вируса, проанализированные специалистами, подтвердили способность FatalRAT обходить защиту, регистрировать нажатия кнопок пользователем, получать доступ к данным пользователя, собирать эту информацию и передавать ее.
По словам исследователей, FatalRAT — троян доступа с широким набором возможностей. Злоумышленник может запустить его удаленно. При этом вредоносная программа предварительно выполняет несколько тестов, прежде чем полностью заразить систему. Например, проверяет свободное место на диске, число процессоров и другие параметры.
Когда вирус завершит все необходимые тесты, FatalRAT начинает свою вредоносную активность. Во время установки на компьютерах он отключает комбинацию CTRL+ALT+DELETE, дающую возможность в том числе заблокировать компьютер.
Дальше активируется кейлогер — ПО, регистрирующее различные действия пользователя, в том числе нажатия клавиш. Таким образом хакер может узнать логин и пароль юзера.
FatalRat способна обходить антивирусы, зашифрованные конфигурации компьютера и собирать практически все данные о жертве. В Alien Labs ожидают лишь увеличение активности нового зловреда.
Будет хуже
По его словам, FatalRAT использует несколько техник уклонения и обфускации, то есть маскировки исполняемого вредоносного кода. Хакеры написали программу, которая всячески прячется от систем безопасности компьютера или мобильного устройства, констатировал специалист.
«Функционал FatalRAT позволяет быстро взламывать несложные пароли, частью которых являются распространенные слова «любовь», «деньги», «Алекс», — рассказал Пирожков.
Новая угроза нацелена не только на Telegram, но также на браузеры Edge, 360Secure Browser, QQBrowser, SogouBrowser, Firefox и Chrome. Вирус удаляет сохраненную информацию из браузеров, вынуждая жертву заново ввести имя пользователя и пароль на неожиданно закрывшихся сайтах.
По словам эксперта, при борьбе с этим вирусом не обойтись стандартным советом не переходить по неизвестным ссылкам и не скачивать программы из неизвестных источников, распространяемых через Telegram.
«В случае с FatalRAT опасные ссылки прячутся за названиями общеизвестных ресурсов, например новостями или агрегаторами популярных видео, поэтому люди без промедления кликают по ним», — предупредил специалист.
Пирожоков добавил, что идентифицированы уже несколько модификаций зловреда, а пик активности нового вируса еще впереди.
Как его избежать
Он уверен, что не менее важной мерой предосторожности является наличие антивирусного ПО на компьютере.
В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.
Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре.
Доступ под заказ
Исследование Лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.
Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались. Обнаружив это, легальный пользователь Telegram может принудительно завершить сессию злоумышленника. Благодаря реализованному механизму защиты обратного произойти не может, злоумышленник не может завершить более старые сессии настоящего пользователя в течении 24 часов. Поэтому важно вовремя обнаружить постороннюю сессию и завершить её, чтобы не потерять доступ к аккаунту. Специалисты Group-IB направили уведомление команде Telegram о своем исследовании ситуации.
Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи. В частности, на хакерских форумах в Даркнете свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram.
«Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований, — комментирует Сергей Лупанин, руководитель отдела расследований киберпреступлений Group-IB, — В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того, чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную аутентификацию везде, где возможно, и добавлять к СМС обязательный второй фактор, что функционально заложено в том же Telegram».
Как защититься?
3. Важно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.
В популярном среди россиян мессенджере Telegram появился новый опасный вирус — троян FatalRAT. Его вычислили и описали эксперты по кибербезопасности из подразделения Alien Labs компании AT&T.
Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.
Троян спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ.
Образцы вируса, проанализированные специалистами, подтвердили способность FatalRAT обходить защиту, регистрировать нажатия кнопок пользователем, получать доступ к данным пользователя, собирать эту информацию и передавать ее.
По словам исследователей, FatalRAT — троян доступа с широким набором возможностей. Злоумышленник может запустить его удаленно. При этом вредоносная программа предварительно выполняет несколько тестов, прежде чем полностью заразить систему. Например, проверяет свободное место на диске, число процессоров и другие параметры.
Когда вирус завершит все необходимые тесты, FatalRAT начинает свою вредоносную активность. Во время установки на компьютерах он отключает комбинацию CTRL+ALT+DELETE, дающую возможность в том числе заблокировать компьютер.
Дальше активируется кейлогер — ПО, регистрирующее различные действия пользователя, в том числе нажатия клавиш. Таким образом хакер может узнать логин и пароль юзера.
FatalRat способна обходить антивирусы, зашифрованные конфигурации компьютера и собирать практически все данные о жертве. В Alien Labs ожидают лишь увеличение активности нового зловреда.
Будет хуже
По его словам, FatalRAT использует несколько техник уклонения и обфускации, то есть маскировки исполняемого вредоносного кода. Хакеры написали программу, которая всячески прячется от систем безопасности компьютера или мобильного устройства, констатировал специалист.
«Функционал FatalRAT позволяет быстро взламывать несложные пароли, частью которых являются распространенные слова «любовь», «деньги», «Алекс», — рассказал Пирожков.
Новая угроза нацелена не только на Telegram, но также на браузеры Edge, 360Secure Browser, QQBrowser, SogouBrowser, Firefox и Chrome. Вирус удаляет сохраненную информацию из браузеров, вынуждая жертву заново ввести имя пользователя и пароль на неожиданно закрывшихся сайтах.
По словам эксперта, при борьбе с этим вирусом не обойтись стандартным советом не переходить по неизвестным ссылкам и не скачивать программы из неизвестных источников, распространяемых через Telegram.
«В случае с FatalRAT опасные ссылки прячутся за названиями общеизвестных ресурсов, например новостями или агрегаторами популярных видео, поэтому люди без промедления кликают по ним», — предупредил специалист.
Пирожков добавил, что идентифицированы уже несколько модификаций зловреда, а пик активности нового вируса еще впереди.
Как его избежать
Он уверен, что не менее важной мерой предосторожности является наличие антивирусного ПО на компьютере.
Пускай Telegram и считается одним из самых защищенных мессенджеров, но и его пользователей периодически взламывают. В минувшую пятницу наши коллеги из Tut.by сообщили о том, что неизвестные с украинских IP-адресов пытались получить доступ к телеграм-аккаунтам минимум шести сотрудников организации. Буквально за час до этого закончилась наша беседа с российским правозащитником и экспертом Amnesty International Олегом Козловским. Он рассказывал, как в 2016 году был взломан его аккаунт в Telegram и неизвестные получили доступ к перепискам.
Взлом посреди ночи
Олег обратился к своему оператору. Сперва получил детализацию по своему номеру, где увидел подключенные и отключенные услуги. А потом позвонил.
Соответственно, никакие уведомления о манипуляциях на телефон не пришли.
Спустя 15 минут кто-то подключается к моему аккаунту, запрашивает SMS с кодом. До моего телефона она не доходит. И каким-то образом этот код перехватывается. Его вводят, заходят в мой аккаунт и, вероятнее всего, сразу же скачивают все чаты. И еще через полчаса-час все услуги МТС подключает обратно.
Когда Олег озвучил эти факты, оператор не признал их и заявил об ошибке. Но в то же время, когда случился взлом аккаунта Козловского, аналогичная ситуация произошла еще с двумя активистами. Один из них — Георгий Албуров, сотрудник Фонда борьбы с коррупцией.
— Так или иначе, но МТС (российский. — Прим. Onliner) не признавал свое участие. С моей точки зрения, это означало, что какие-то сотрудники были в сговоре со злоумышленниками. Были ли это спецслужбы, или это делалось за деньги… мне неизвестно.
У Олега не была включена двухэтапная аутентификация, не был задан дополнительный пароль, о котором мы расскажем чуть ниже. Это и позволило злоумышленникам получить доступ к открытым чатам. Возможно, еще были скачаны файлы, которые пересылались в чатах. Но, как отмечает он сам, ничего интересного там не было. Прошло пять лет, а его еще никто не пытался шантажировать, переписки не появлялись в интернете.
По словам Олега, он столкнулся с сопротивлением со стороны Следственного комитета России, куда отнес заявление о возбуждении дела по несанкционированному доступу к компьютерной информации и паре других статей.
Только через несколько лет удалось добиться начала проверки. Потом пришел отказ в возбуждении уголовного дела. Но польза в этом была: МТС официально ответили следствию.
В документе говорится, что дежурный специалист Департамента инфобезопасности МТС той ночью принял решение защитить абонентов и на час отключить им SMS, информирование о добавлении и удалении услуг, а также мобильный интернет. Согласно все тому же письму, действия сотрудника признали избыточными в силу его недостаточной компетенции. Сотруднику сделали выговор, позже он уволился по собственному желанию.
— Это действительно уязвимый канал. Все, что передается через SMS, могут прочитать не только спецслужбы, но и хакеры, причем необязательно суперкрутые и невероятно продвинутые. И оборудование, и программные комплексы для подобного взлома продаются. Кроме того, доступ есть и у мобильных операторов, у которых не все сотрудники честные.
Уязвимость SS7
Начало применения SS7 в Европе относится ко времени построения мобильных сетей GSM, в которых при роуминге коммутатор «гостевой» сети (MSC/VLR) должен обращаться к опорному регистру (HLR) «домашней» сети абонента, хранящему данные об этом абоненте. В настоящее время SS7 составляет сигнальную инфраструктуру практически всех операторов фиксированной и мобильной связи и служит для передачи информации об установлении соединения и маршрутизации.
Немец Тобиас Энгель в 2014 году на хакерской конференции в Берлине рассказал об уязвимости SS7 и продемонстрировал, как на протяжении двух недель отслеживал перемещения нескольких абонентов (с их предварительного согласия). Они сами предоставили ему номера своих телефонов, а он, опрашивая сеть, смог выстроить небольшую карту их перемещений. Так, например, один из абонентов в середине декабря жил и работал в Сиэтле, а потом на рождество отправился на родину в Нидерланды. Последнюю точку из презентации Тобиас убрал, так как она оказалась слишком близко к родному дому голландца.
Как отмечал тогда специалист, частные компании по всему миру предлагали инструменты на основе уязвимости SS7 в качестве Lawful Interception — средств для перехвата в рамках закона для правоохранительных органов и спецслужб.
Практически все спецслужбы всех государств имеют прямое включение в сети операторов и могут без труда как прослушивать разговоры, так и читать SMS. Это все подзаконно, такое оборудование стандартизировано и на постсоветском пространстве называется СОРМ.
Но мы отошли чуть в сторону.
Ранее злоумышленнику достаточно было иметь компьютер со специальным программным обеспечением и быть подключенным к сети оператора связи в виде сигнальной точки SS7. При должном уровне знаний можно было обмануть сеть другого оператора, выдав хакерское устройство за гостевой коммутатор MSC/VLR.
Кроме того, ведется реестр адресов сетевого оборудования, которое специально прописывается и настраивается. А потому, чтобы использовать SS7 на уровне сети, злоумышленник как минимум должен быть подключен напрямую к оборудованию какого-то оператора связи. Но это риски для такого оператора, поскольку его сеть при обнаружении просто заблокируют, а это грозит ему потерей репутации и бизнеса. Поэтому в телекоммуникационных сетях такое встречается нечасто. Да и поскольку все эти псевдосистемы злоумышленников в большинстве случаев представляются иностранными операторами (сообщают, что вы в международном роуминге), для собственной перестраховки абоненту в домашней сети просто достаточно отключить на телефоне международный роуминг.
Гайки затянуты, но…
Тем не менее атаки с применением SS7 продолжаются. В декабре 2019 года в отдел расследований киберпреступлений компании Group-IB обратились несколько российских предпринимателей. Неизвестные получили доступ к их переписке в Telegram. Пострадавшие пользовались смартфонами на iOS и Android, были абонентами разных федеральных операторов. Атаки происходили мгновенно.
Злоумышленники попадали в аккаунт через мобильный интернет с IP-адресов из Самары.
Специалисты не обнаружили на смартфонах пострадавших никаких шпионских программ. «Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью SMS-кодов, получаемых при входе в аккаунт с нового устройства», — подчеркивается в отчете.
В этой истории есть два важных момента: перехват SMS (про который мы рассказали выше и с которым борются как могут) и отсутствие двухэтапной аутентификации у потерпевших.
Двухэтапная авторизация
Но если у вас включена двухэтапная аутентификация, то после кода подтверждения необходимо ввести еще и пароль, который знаете только вы.
Эксперты советуют: двухэтапную аутентификацию следует обязательно включить в настройках конфиденциальности Telegram. В последнем инциденте с сотрудниками Tut.by отмечалось, что на одном из аккаунтов она была включена. Некто смог верно ввести код подтверждения, но не справился с дополнительным паролем и не получил доступ к переписке аккаунта.
— Если брать техническую составляющую, Telegram очень сильно защищен. Они молодцы. Но действительно, стоит понимать, что можно получить физический доступ к устройству. В таком случае технологическая составляющая безопасности не поможет, — цитируем Александра Сушко, главу Group-IB в Беларуси.
Многие злоумышленники осуществляют установку вредоносных программ на устройства. Это может быть программа, которую человек сам скачает, либо заражение через фишинговую ссылку. Такой вредонос позволит перехватывать и переписку, и звонки, и SMS.
Кроме вредоносов, это могут быть и уязвимости телекоммуникационных сетей. Та же SS7, которая позволяет перехватывать SMS. Зная об этой уязвимости, важно устанавливать двухэтапную аутентификацию с дополнительным паролем. Это более безопасно.
Если у вас к аккаунту будет привязана SIM-карта европейская или китайская, то к аккаунту будет сложнее получить доступ. Но нужны доверенные лица, которые будут давать вам этот код доступа, когда вы будете заново авторизовываться.
Двухэтапная аутентификация включается в настройках конфиденциальности мессенджера. На iOS-устройствах она называется «Облачный пароль». Этот пароль можно привязать к адресу электронной почты, что позволит восстановить его в том случае, если вы его забудете. Но это необязательно, привязку можно пропустить. Тем самым пароль от Telegram будет храниться только у вас в голове. Это, вероятно, более надежный способ, если злоумышленники вдруг смогут получить доступ и к вашей почте.
Эксперты из телеком-индустрии говорят, что взлом посредством протокола SS7 если и возможен, то весьма непрост. Тем не менее инциденты с возможным перехватом SMS и взломом Telegram происходят. Теперь вы знаете, как обезопасить себя. Чтобы не пропустить наши новые ролики, подписывайтесь на канал на YouTube, дальше будет очень интересно.
Читайте также: