Специалисты Netscope Threat Research Labs обнаружили новый троян удаленного доступа (Remote Access Trojan, RAT), который использует облачный сервис Dropbox в качестве хостинга полезной нагрузки, а мессенджер Telegram — в качестве центра управления. Зловред, нареченный TelegramRAT, распространяется через документы Microsoft Office, нацеленные на эксплуатацию уязвимости CVE-2017-11882, которая была исправлена в ноябре 2017 года.

Средства сетевой безопасности не могут засечь C&C-трафик, так как новоявленный троян принимает команды при помощи Telegram BOT API, а отправляет сообщения злоумышленнику по защищенному протоколу HTTPS. Традиционные сканеры не могут проверить SSL-коммуникации или проанализировать трафик на уровне облачных приложений, и это, по мнению исследователей, делает троян уникальным.

Атака начинается при помощи вредоносного документа MS Office. Уязвимость CVE-2017-11882 в редакторе формул (eqnedt32.exe) позволяет злоумышленнику выполнить произвольный код. Данную брешь в ноябре обнаружили исследователи Embedi, и Microsoft немедленно внесла исправления, однако до того момента проблема с повреждением памяти просуществовала незамеченной 17 лет. Киберпреступники быстро воспользовались тем, что многие пользователи не торопятся устанавливать обновления, и стали использовать уязвимость в своих целях. Так, с ее помощью хакерская группировка Cobalt 21 ноября начала фишинговую атаку на российские и турецкие банки.

Зараженный документ использует переадресацию сервиса Bit.ly, чтобы скрыть вредоносную нагрузку, размещенную на облачном сервисе Dropbox. Сам пейлоад TelegramRAT создан на базе открытого исходного кода Python-программы, размещенной на GitHub. Поскольку интерпретатор Python, код приложения и все необходимые библиотеки упакованы вместе, размер исполняемого файла довольно большой и внушает меньше подозрений.

Так как Telegram поддерживает зашифрованную связь, киберпреступники могут легко обмениваться данными со своей целью, избегая слежки. Для этого они создают Telegram-бот, из которого берут маркер и вставляют в конфигурационный файл трояна. Затем вредоносное ПО подключают к каналу с ботом и начинают отдавать команды зараженным машинам.

В результате злоумышленники получают возможность делать скриншоты, копировать, загружать и удалять файлы и папки, включать и отключать клавиатуру, воровать логины и пароли, сохраненные в Google Chrome, получать информацию о ПК, открывать прокси-сервер, перезагружать и выключать компьютер, просматривать запущенные службы и процессы и обновлять свой исполняемый файл.

Для защиты от угрозы специалисты рекомендуют сканировать все загрузки из облачных сервисов на наличие вредоносных программ, регулярно делать резервные копии для наиболее важных данных, хранящихся в облаке, а также не открывать ненадежные вложения и не выполнять exe-файлы, если нет уверенности в их полной безвредности.

Категории: Аналитика, Вредоносные программы, Уязвимости