Вирус на телеграмм на

Обновлено: 25.04.2024

Серьезная угроза

В популярном среди россиян мессенджере Telegram появился новый опасный вирус — троян FatalRAT. Его вычислили и описали эксперты по кибербезопасности из подразделения Alien Labs компании AT&T.

Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.

Троян спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ.

Образцы вируса, проанализированные специалистами, подтвердили способность FatalRAT обходить защиту, регистрировать нажатия кнопок пользователем, получать доступ к данным пользователя, собирать эту информацию и передавать ее.

По словам исследователей, FatalRAT — троян доступа с широким набором возможностей. Злоумышленник может запустить его удаленно. При этом вредоносная программа предварительно выполняет несколько тестов, прежде чем полностью заразить систему. Например, проверяет свободное место на диске, число процессоров и другие параметры.

Когда вирус завершит все необходимые тесты, FatalRAT начинает свою вредоносную активность. Во время установки на компьютерах он отключает комбинацию CTRL+ALT+DELETE, дающую возможность в том числе заблокировать компьютер.

Дальше активируется кейлогер — ПО, регистрирующее различные действия пользователя, в том числе нажатия клавиш. Таким образом хакер может узнать логин и пароль юзера.

FatalRat способна обходить антивирусы, зашифрованные конфигурации компьютера и собирать практически все данные о жертве. В Alien Labs ожидают лишь увеличение активности нового зловреда.

Будет хуже

По его словам, FatalRAT использует несколько техник уклонения и обфускации, то есть маскировки исполняемого вредоносного кода. Хакеры написали программу, которая всячески прячется от систем безопасности компьютера или мобильного устройства, констатировал специалист.

Новая угроза нацелена не только на Telegram, но также на браузеры Edge, 360Secure Browser, QQBrowser, SogouBrowser, Firefox и Chrome. Вирус удаляет сохраненную информацию из браузеров, вынуждая жертву заново ввести имя пользователя и пароль на неожиданно закрывшихся сайтах.

По словам эксперта, при борьбе с этим вирусом не обойтись стандартным советом не переходить по неизвестным ссылкам и не скачивать программы из неизвестных источников, распространяемых через Telegram.

Пирожоков добавил, что идентифицированы уже несколько модификаций зловреда, а пик активности нового вируса еще впереди.

Как его избежать

Он уверен, что не менее важной мерой предосторожности является наличие антивирусного ПО на компьютере.

Взлом с помощью веселой картинки: как в Telegram оказался вирус для майнинга критовалют

Запуская вирус, хакеры преследовали несколько целей. , используя уязвимость, преступники устанавливали бэкдор, который позволяет получить удаленный доступ к зараженному ноутбуку или планшету. После установки бэкдор работал в скрытом режиме, а пользователь не мог его засечь. При этом он выполнял различные команды хакеров, такие как установка шпионского оборудования и сбор персональных данных владельца компьютера.

Примечательно, что случай с Telegram не первый в истории майнинговых кибератак. Накануне основатель сайта securityheaders.io и исследователь в области кибербезопасности Скотт Хельм опубликовал расследование на тему того, как хакеры майнят, используя мощности правительств различных стран. Согласно этому отчету, в течение всего 2017 года более четырех тысяч правительственных сайтов США, Австралии и Великобритании оказались заражены скриптами, позволяющими использовать оборудование в целях майнинга криптовалюты Monero.

Вирус вместо картинки

Взлом с помощью веселой картинки: как в Telegram оказался вирус для майнинга критовалют | Изображение 1

Для отправки вируса через Telegram киберпреступники использовали так называемую атаку override (RLO). RLO представляет собой особый печатный символ кодировки Unicode. Этот механизм кодировки зеркально отражает направление знаков. Он используется программистами в текстах, воспроизводимых справа налево, например, на арабском или иврите.

Внимательность и обновление антивируса

С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск . При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).

Мошенники все чаще используют Telegram-боты. По незнанию можно стать их сообщником

Как работают боты

За начинку, то есть за весь функционал бота, отвечают его авторы, а не команда мессенджера. Цели создания ботов могут быть разными. Они могут, например, помочь людям найти соседей по адресу и жилье, уютные заведения неподалеку или интересное кино под ваши вкусы. А могут обмануть — через вымогательство или продажу незаконно полученных сведений.

Подбирать информацию из открытых источников или собственных баз данных боты могут благодаря сведениям, которые пользователь предоставляет сам. Например, если вы хотите найти квартиру в своем районе, придется рассказать боту, какие станции метро вас интересуют, какой метраж квартиры, какие условия — вроде возможности жить с домашним животным. Если же вы хотите найти интересный фильм, нужно будет назвать жанры, режиссеров или актеров, которые вам нравятся. Но личную информацию ботам лучше не сообщать.

Боты-мошенники

Если бот запрашивает у вас личную информацию (например, не только спрашивает, как к вам обращаться, но и просит назвать адрес, паспортные данные, логины и пароли от какого-либо аккаунта или номер карты), стоит задуматься, не мошеннический ли это сервис. Подобными данными нельзя делиться.

Распространены схемы с заманиванием потенциальных жертв на мошеннические и вредоносные сайты. Например, для получения некоего приза, покупки дорогостоящей техники со скидкой. Кроме того, мошенники могут представляться сотрудниками кредитных организаций и сообщать о взломе с последующим приглашением на поддельный сайт банка

Поэтому нужно особенно внимательно следить за ссылками, по которым вы переходите из ботов, мессенджеров и других непроверенных источников. Обязательно проверяйте доменные имена, ведь чаще всего мошенники создают сайты с тем же дизайном и созвучным названием в адресной строке.

Куркин добавил, что существуют целые вредоносные программы — трояны, которые используют Telegram-ботов для передачи похищаемой ими информации на сторону.

Причем избавиться от такой проблемы сложно — просто удалить приложение недостаточно. Также распространенной схемой мошенничества именно в Telegram является предложение купить доступ к каким-либо приватным каналам за деньги. На такие провокации вестись не стоит.

Нелегальные боты

Если информация является общедоступной, то получение согласия на ее обработку не требуется с точки зрения закона о персональных данных. Но если это биллинги от авиакомпаний и прочее, что не находится в общем доступе, [но может продаваться в Telegram-ботах], приобретение такой информации полностью корректным быть не может

При этом получение информации из слитых баз банков и других учреждений тоже может оказаться спорным для пользователя, даже если он сам к ее краже не причастен. Его могут привлечь к ответственности, если использование информации нанесет кому-то ущерб — как материальный, так и репутационный.


Серьезная угроза

В популярном среди россиян мессенджере Telegram появился новый опасный вирус — троян FatalRAT. Его вычислили и описали эксперты по кибербезопасности из подразделения Alien Labs компании AT&T.

Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.

Троян спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ.

Образцы вируса, проанализированные специалистами, подтвердили способность FatalRAT обходить защиту, регистрировать нажатия кнопок пользователем, получать доступ к данным пользователя, собирать эту информацию и передавать ее.

По словам исследователей, FatalRAT — троян доступа с широким набором возможностей. Злоумышленник может запустить его удаленно. При этом вредоносная программа предварительно выполняет несколько тестов, прежде чем полностью заразить систему. Например, проверяет свободное место на диске, число процессоров и другие параметры.

Когда вирус завершит все необходимые тесты, FatalRAT начинает свою вредоносную активность. Во время установки на компьютерах он отключает комбинацию CTRL+ALT+DELETE, дающую возможность в том числе заблокировать компьютер.

Дальше активируется кейлогер — ПО, регистрирующее различные действия пользователя, в том числе нажатия клавиш. Таким образом хакер может узнать логин и пароль юзера.

FatalRat способна обходить антивирусы, зашифрованные конфигурации компьютера и собирать практически все данные о жертве. В Alien Labs ожидают лишь увеличение активности нового зловреда.

Будет хуже

По его словам, FatalRAT использует несколько техник уклонения и обфускации, то есть маскировки исполняемого вредоносного кода. Хакеры написали программу, которая всячески прячется от систем безопасности компьютера или мобильного устройства, констатировал специалист.

Новая угроза нацелена не только на Telegram, но также на браузеры Edge, 360Secure Browser, QQBrowser, SogouBrowser, Firefox и Chrome. Вирус удаляет сохраненную информацию из браузеров, вынуждая жертву заново ввести имя пользователя и пароль на неожиданно закрывшихся сайтах.

По словам эксперта, при борьбе с этим вирусом не обойтись стандартным советом не переходить по неизвестным ссылкам и не скачивать программы из неизвестных источников, распространяемых через Telegram.

Пирожков добавил, что идентифицированы уже несколько модификаций зловреда, а пик активности нового вируса еще впереди.

Как его избежать

Он уверен, что не менее важной мерой предосторожности является наличие антивирусного ПО на компьютере.


В последнее время стало известно о нескольких новых случаях мошенничества в криптопространтсве, с помощью которых злоумышленники могут завладеть цифровыми активами других пользователей.

Вирус в Telegram

Администратор DeFi-протокола Immunefi сообщил в Twitter, что злоумышленники начали активно распространять в Telegram новый вирус. Вредоносный файл распространяют в крипто-чатах. Опасность заключается в том, что у большинства пользователей Telegram по умолчанию включена опция автозагрузки файлов. Поэтому пользователь может даже не догадываться о том, что скачал вирус.

Представитель протокола Immunefi посоветовал отключить функцию автозагрузки файлов в мессенджере, чтобы обезопасить свое устройство от несанкционированного доступа.

Фейковый сайт Binance

Один из пользователей Telegram описал еще одну схему мошенничества, при помощи которой злоумышленники пытались завладеть его учетной записью на криптобирже Binance. По словам потерпевшего, при работе с торговой платформой у него внезапно закрылся браузер. После перезапуска пользователь попытался войти в учетную запись используя двухфакторную аутентификацию, однако система несколько раз выдала ошибку.

Криптоинвестор догадался, что находится не на сайте криптобиржи, а на его фейковой версии, однако в строке адреса браузера отображался оригинальный URL торговой платформы.

После этого пользователь обратился в техническую поддержку с другого устройства. Специалист Binance подтвердил, что в учетной записи пользователя предпринята попытка отмены двухфакторной аутентификации, однако она не была завершена. Для безопасности активов криптоинвестор заблокировал вывод средств со своего аккаунта на сутки. Позже потерпевший обнаружил, что его компьютер был заражен вирусом.

Больше новостей о криптовалютах вы найдете в нашем телеграм-канале РБК-Крипто.

Читайте также: