Играете в Clash? А иранские хакеры используют это название, чтобы взламывать компьютеры
NewsMakerКак вредоносные программы притворяются обычными чатами в телефоне.
Иногда вредоносную кампанию выдаёт не сложный код, а мелкая деталь. В новой активности группы MuddyWater такой деталью стали имена Telegram-ботов.
Специалисты Synaptic изучили образец вредоносной программы LampoRAT , который уже описывали ранее. Программа работает как удалённый троян и управляется через Telegram. После заражения система подключается к заранее заданному токену бота, получает команды от оператора, выполняет их в командной строке Windows и отправляет результат обратно через тот же мессенджер. Такой канал выглядит как обычный зашифрованный трафик к Telegram и почти не выделяется на фоне легитимной активности.
Внимание привлекло имя одного из ботов – stager_51_bot. В атакующих инструментах «stager» обычно обозначает начальный модуль, который закрепляется в системе и подтягивает дополнительные компоненты. Число 51 в названии выглядело как часть последовательности.
Дальше проверили простую гипотезу. Взяли шаблон stager_X_bot и перебрали значения от 1 до 100, проверяя, какие имена уже заняты. Для этого даже не понадобился доступ к Telegram API – хватило веб-интерфейса мессенджера, который показывает существующие имена.
Иногда вредоносную кампанию выдаёт не сложный код, а мелкая деталь. В новой активности группы MuddyWater такой деталью стали имена Telegram-ботов.
Специалисты Synaptic изучили образец вредоносной программы LampoRAT , который уже описывали ранее. Программа работает как удалённый троян и управляется через Telegram. После заражения система подключается к заранее заданному токену бота, получает команды от оператора, выполняет их в командной строке Windows и отправляет результат обратно через тот же мессенджер. Такой канал выглядит как обычный зашифрованный трафик к Telegram и почти не выделяется на фоне легитимной активности.
Внимание привлекло имя одного из ботов – stager_51_bot. В атакующих инструментах «stager» обычно обозначает начальный модуль, который закрепляется в системе и подтягивает дополнительные компоненты. Число 51 в названии выглядело как часть последовательности.
Дальше проверили простую гипотезу. Взяли шаблон stager_X_bot и перебрали значения от 1 до 100, проверяя, какие имена уже заняты. Для этого даже не понадобился доступ к Telegram API – хватило веб-интерфейса мессенджера, который показывает существующие имена.