|
Title: В телеге свирепствует RAT троян. Post by: soliton on August 14, 2021, 06:07:36 AM С
Title: Re: В телеге свирепствует RAT троян. Post by: Cryptmuster on August 14, 2021, 02:02:08 PM Собственно по сабжу. Троян, который получил имя FatalRAT, распространяется через гиперссылки, которым следует пользователи телеграмм-каналов (https://forklog.com/krupnejshij-vzlom-v-kriptoindustrii-rasprostranyayushhijsya-cherez-telegram-troyan-i-drugie-sobytiya-kiberbezopasnosti/). FatalRAT предоставляет злоумышленникам удаленный доступ к компьютерам своих жертв, на которых в последствии могут быть установлены кейлогеры, взломаны слабые пароли, модифицирован регистр и сделаны другие гадости. Троян обладает придвинутыми свойствами и дает возможность хакерам анализировать зараженные компьютеры на наличие виртуальных машин и отключать возможность блокировки компьютера с помощью CTRL+ALT+DELETE. С этой целью в регистре ключу DisableLockWorkstation назначается "1". Все детали об этом трояне можно посмотреть на странице лаборатории безопасности AT&T (https://cybersecurity.att.com/blogs/labs-research/new-sophisticated-rat-in-town-fatalrat-analysis), в которай по факту его и обнаружили. Это пользователь подвергается атаке если пройдёт по ссылке, или как? Я не совсем понял. Если телеграмма нету на компе, то даннаый троян не опасен для пользователя? Title: Re: В телеге свирепствует RAT троян. Post by: Xal0lex on August 14, 2021, 05:06:13 PM Это пользователь подвергается атаке если пройдёт по ссылке, или как? Я не совсем понял. Если ссылка заражена, то да. Если телеграмма нету на компе, то даннаый троян не опасен для пользователя? Теоретически, любая ссылка, заражённая этим РАТом и размещённая на открытых площадках, таких как форумы, открытые каналы в Telegram, Twitter, FB и так далее, может быть потенциально опасной. Особенно короткие ссылки. Захотел посмотреть сиськи - получи, захотел скачать халяву - получи, увидел ссылку на новость, что биткоин будет стоить завтра лям баксов - получи ;) Опять же, теоретически, такая ссылка(и) может спокойно появиться и на нашем форуме. С виду она якобы будет вести на какую-нибудь интересную новость, а на самом деле... Но наиболее вероятнее всего запустить дроппер к себе именно через Telegram. Товарищ вирусописатель выбрал такой способ распространения своего детища, потому что Telegram достаточно анонимен и рега там простейшая: достаточно иметь какой-нибудь левый номер телефона. Title: Re: В телеге свирепствует RAT троян. Post by: Cryptmuster on August 15, 2021, 10:04:35 AM Если ссылка заражена, то да. Если телеграмма нету на компе, то даннаый троян не опасен для пользователя? Теоретически, любая ссылка, заражённая этим РАТом и размещённая на открытых площадках, таких как форумы, открытые каналы в Telegram, Twitter, FB и так далее, может быть потенциально опасной. Особенно короткие ссылки. Захотел посмотреть сиськи - получи, захотел скачать халяву - получи, увидел ссылку на новость, что биткоин будет стоить завтра лям баксов - получи ;) Опять же, теоретически, такая ссылка(и) может спокойно появиться и на нашем форуме. С виду она якобы будет вести на какую-нибудь интересную новость, а на самом деле... Но наиболее вероятнее всего запустить дроппер к себе именно через Telegram. Товарищ вирусописатель выбрал такой способ распространения своего детища, потому что Telegram достаточно анонимен и рега там простейшая: достаточно иметь какой-нибудь левый номер телефона. Ого, это жесть конечно, просто по ссылки на новости, или даже с картинки можно словить... Не думал, что все работает именно так, предполагал что, что бы поймать какую то программу вредную, обязательно нужно ее установить себе на камп. Title: Re: В телеге свирепствует RAT троян. Post by: A-Bolt on August 15, 2021, 12:00:13 PM Ого, это жесть конечно, просто по ссылки на новости, или даже с картинки можно словить... Где вы взяли эту информацию? Я пытался найти хоть какую-то информацию по механизму запуска этого FatalRAT, но безуспешно. Поделитесь ссылкой?Title: Re: В телеге свирепствует RAT троян. Post by: Evgenklm on August 15, 2021, 07:06:42 PM Почему то всегда троянов в телегу заводят, я понимаю что телеграмм стал мягко говоря крипто мессендером, но все же телеграмм должен тоже как-то содействовать безопасности своих пользователей, и сами пользователи должны быть бдительны и осторожны, главное на ссылки подозрительные не переходить.
Title: Re: В телеге свирепствует RAT троян. Post by: Xal0lex on August 15, 2021, 07:59:09 PM Вот выдержки из нескольких статей:
Quote from: https://www.securitylab.ru/news/523235.php Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов. Троян FatalRAT спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ. При этом зловредное ПО способно не только управлять внешними соединениями и веб-браузерами, но и вносить изменения в систему без ведома владельца устройства. Под угрозой также оказываются одноразовые пароли, рассылаемые банками и другими сервисами в качестве одной из ступеней аутентификации. В AT&T считают, что этот вирус представляет собой угрозу нового типа, на основе которой будут создавать более совершенные типы вредоносных программ. Quote from: https://overclockers.ru/blog/Scorpion81/show/54758/troyan-fatalrat-rasprostranyaetsya-cherez-telegram Троян распространяется посредством уязвимости загрузки приложений или статей в Telegram. Quote from: https://www.bankinfosecurity.com/fatalrat-exploits-telegram-to-deliver-malicious-links-a-17199 The malware, dubbed FatalRAT, can be remotely executed... То есть, "Вредоносная программа, получившая название FatalRAT, может быть выполнена удалённо..." Title: Re: В телеге свирепствует RAT троян. Post by: A-Bolt on August 15, 2021, 11:02:52 PM Вот выдержки из нескольких статей: Все эти статьи основаны на статье AT&T Alien Labs (https://cybersecurity.att.com/blogs/labs-research/new-sophisticated-rat-in-town-fatalrat-analysis). Её писали специалисты, в ней подробно описано, что троян делает после запуска. Но, при этом, ничего не сказано о механизме запуска, то есть, какие действия должен сделать пользователь для запуска трояна.Если то или иное приложение позволяет запускать какой-либо сторонний код без согласия и ведома пользователя - это серьёзная уязвимость, о которой должен быть немедленно поставлен в известность разработчик приложения. Но в исследовании AT&T Alien Lab ни о каких уязвимостях, позволяющих трояну запускаться без согласия пользователя, не говорится. Поэтому, можно предположить, что троян запускается типичным способом, когда пользователь должен сам его скачать и сам же его запустить. Quote from: https://www.bankinfosecurity.com/fatalrat-exploits-telegram-to-deliver-malicious-links-a-17199 The malware, dubbed FatalRAT, can be remotely executed... Это утверждение сделано на основе предложения из статьи AT&T Alien Labs:Quote FatalRAT is a remote access trojan with a wide set of capabilities that can be executed remotely by an attacker. И тут мне как всегда не хватает знания английского, чтобы понять к чему относится that can be executed remotely by an attacker: к trojan или к capabilities. В последнем случае речь идёт об удалённом выполнении функций трояна уже после запуска самого трояна. А каким способом запускается троян, остаётся загадкой. Title: Re: В телеге свирепствует RAT троян. Post by: TopTort777 on August 16, 2021, 10:42:19 AM Пользователям телефон и планшетов можно спать спокойно? Или устройства на андроиде все равно находятся в зоне риска (хотя они и так всегда в нем).
И тут мне как всегда не хватает знания английского, чтобы понять к чему относится that can be executed remotely by an attacker: к trojan или к capabilities. В последнем случае речь идёт об удалённом выполнении функций трояна уже после запуска самого трояна. А каким способом запускается троян, остаётся загадкой. Могу лишь гадать, но точно уверен, что 99% вирусни пользователь запускает сам, и лишь что-то очень редкое включается автоматически. Раз распространяется через гиперссылки, то я думаю что при заходе на сайт появляется запрос похожий на "Мы используем файлы cookie для улучшения качества работы." и пользователь автоматом жмет Accept или ОК. Title: Re: В телеге свирепствует RAT троян. Post by: MIner1448 on August 19, 2021, 03:18:01 PM Уже и до телеграм каналов дошли...
Получается уже есть риски подхватить троян при переходе через ссылки в телеграме? Может кто-то уже писал разработчикам телеграм канала, чтоб данную проблему решили? Или может у кого-то есть решение по данной проблеме? Title: Re: В телеге свирепствует RAT троян. Post by: johhnyUA on August 19, 2021, 09:54:32 PM Вот выдержки из нескольких статей: Все эти статьи основаны на статье AT&T Alien Labs (https://cybersecurity.att.com/blogs/labs-research/new-sophisticated-rat-in-town-fatalrat-analysis). Её писали специалисты, в ней подробно описано, что троян делает после запуска. Но, при этом, ничего не сказано о механизме запуска, то есть, какие действия должен сделать пользователь для запуска трояна.Если то или иное приложение позволяет запускать какой-либо сторонний код без согласия и ведома пользователя - это серьёзная уязвимость, о которой должен быть немедленно поставлен в известность разработчик приложения. Но в исследовании AT&T Alien Lab ни о каких уязвимостях, позволяющих трояну запускаться без согласия пользователя, не говорится. Поэтому, можно предположить, что троян запускается типичным способом, когда пользователь должен сам его скачать и сам же его запустить. Тут два момента: Во всяких Виндовсах есть автозапуск или автовыполнение, тоесть здесь можно попасть. Можно ведь перейти по ссылке вызвав команду скачивания (а вот автозапуск по дефолту отключен, но есть конечно васяны те еще). Но вообще, полагаю что типичный malware dropper которых и так полно в сети. Там все зависит от вашей операционной системы, выставленых пермишенов и конечно же вашей внимательности. |