В телеге свирепствует RAT троян.

[soliton]

С

[1715053838]

1715053838

[1715053838]

1715053838

[Cryptmuster]

Собственно по сабжу. Троян, который получил имя FatalRAT, распространяется через гиперссылки, которым следует пользователи телеграмм-каналов.  FatalRAT предоставляет злоумышленникам удаленный доступ к компьютерам своих жертв, на которых в последствии могут быть установлены кейлогеры, взломаны слабые пароли, модифицирован регистр и сделаны другие гадости. Троян обладает придвинутыми свойствами и дает возможность хакерам  анализировать зараженные компьютеры на наличие виртуальных машин и отключать  возможность блокировки компьютера с помощью
CTRL+ALT+DELETE. С этой целью в регистре ключу DisableLockWorkstation назначается  "1".


Все детали об этом трояне можно посмотреть на странице лаборатории безопасности  AT&T, в которай по факту его и обнаружили.  

Это пользователь подвергается атаке если пройдёт по ссылке, или как? Я не совсем понял. Если телеграмма нету на компе, то даннаый троян не опасен для пользователя?

[Xal0lex]

Это пользователь подвергается атаке если пройдёт по ссылке, или как? Я не совсем понял.

Если ссылка заражена, то да.

Если телеграмма нету на компе, то даннаый троян не опасен для пользователя?

Теоретически, любая ссылка, заражённая этим РАТом и размещённая на открытых площадках, таких как форумы, открытые каналы в Telegram, Twitter, FB и так далее, может быть потенциально опасной. Особенно короткие ссылки. Захотел посмотреть сиськи - получи, захотел скачать халяву - получи, увидел ссылку на новость, что биткоин будет стоить завтра лям баксов - получи

Опять же, теоретически, такая ссылка(и) может спокойно появиться и на нашем форуме. С виду она якобы будет вести на какую-нибудь интересную новость, а на самом деле...

Но наиболее вероятнее всего запустить дроппер к себе именно через Telegram. Товарищ вирусописатель выбрал такой способ распространения своего детища, потому что Telegram достаточно анонимен и рега там простейшая: достаточно иметь какой-нибудь левый номер телефона.

[Cryptmuster]

Если ссылка заражена, то да.

Если телеграмма нету на компе, то даннаый троян не опасен для пользователя?

Теоретически, любая ссылка, заражённая этим РАТом и размещённая на открытых площадках, таких как форумы, открытые каналы в Telegram, Twitter, FB и так далее, может быть потенциально опасной. Особенно короткие ссылки. Захотел посмотреть сиськи - получи, захотел скачать халяву - получи, увидел ссылку на новость, что биткоин будет стоить завтра лям баксов - получи

Опять же, теоретически, такая ссылка(и) может спокойно появиться и на нашем форуме. С виду она якобы будет вести на какую-нибудь интересную новость, а на самом деле...

Но наиболее вероятнее всего запустить дроппер к себе именно через Telegram. Товарищ вирусописатель выбрал такой способ распространения своего детища, потому что Telegram достаточно анонимен и рега там простейшая: достаточно иметь какой-нибудь левый номер телефона.

Ого, это жесть конечно, просто по ссылки на новости, или даже с картинки можно словить... Не думал, что все работает именно так, предполагал что, что бы поймать какую то программу вредную, обязательно нужно ее установить себе на камп.

[A-Bolt]

Ого, это жесть конечно, просто по ссылки на новости, или даже с картинки можно словить...

Где вы взяли эту информацию? Я пытался найти хоть какую-то информацию по механизму запуска этого FatalRAT, но безуспешно. Поделитесь ссылкой?

[Evgenklm]

Почему то всегда троянов в телегу заводят, я понимаю что телеграмм стал мягко говоря крипто мессендером, но все же телеграмм должен тоже как-то содействовать безопасности своих пользователей, и сами пользователи должны быть бдительны и осторожны, главное на ссылки подозрительные не переходить.

[Xal0lex]

Вот выдержки из нескольких статей:

Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.

Троян FatalRAT спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ.

При этом зловредное ПО способно не только управлять внешними соединениями и веб-браузерами, но и вносить изменения в систему без ведома владельца устройства. Под угрозой также оказываются одноразовые пароли, рассылаемые банками и другими сервисами в качестве одной из ступеней аутентификации. В AT&T считают, что этот вирус представляет собой угрозу нового типа, на основе которой будут создавать более совершенные типы вредоносных программ.

Троян распространяется посредством уязвимости загрузки приложений или статей в Telegram.

The malware, dubbed FatalRAT, can be remotely executed...

То есть, "Вредоносная программа, получившая название FatalRAT, может быть выполнена удалённо..."

[A-Bolt]

Вот выдержки из нескольких статей:

Все эти статьи основаны на статье AT&T Alien Labs. Её писали специалисты, в ней подробно описано, что троян делает после запуска. Но, при этом, ничего не сказано о механизме запуска, то есть, какие действия должен сделать пользователь для запуска трояна.

Если то или иное приложение позволяет запускать какой-либо сторонний код без согласия и ведома пользователя - это серьёзная уязвимость, о которой должен быть немедленно поставлен в известность разработчик приложения. Но в исследовании AT&T Alien Lab ни о каких уязвимостях, позволяющих трояну запускаться без согласия пользователя, не говорится. Поэтому, можно предположить, что троян запускается типичным способом, когда пользователь должен сам его скачать и сам же его запустить.

The malware, dubbed FatalRAT, can be remotely executed...

Это утверждение сделано на основе предложения из статьи AT&T Alien Labs:

FatalRAT is a remote access trojan with a wide set of capabilities that can be executed remotely by an attacker.

И тут мне как всегда не хватает знания английского, чтобы понять к чему относится that can be executed remotely by an attacker: к trojan или к capabilities. В последнем случае речь идёт об удалённом выполнении функций трояна уже после запуска самого трояна. А каким способом запускается троян, остаётся загадкой.

[TopTort777]

Пользователям телефон и планшетов можно спать спокойно? Или устройства на андроиде все равно находятся в зоне риска (хотя они и так всегда в нем).

И тут мне как всегда не хватает знания английского, чтобы понять к чему относится that can be executed remotely by an attacker: к trojan или к capabilities. В последнем случае речь идёт об удалённом выполнении функций трояна уже после запуска самого трояна. А каким способом запускается троян, остаётся загадкой.

Могу лишь гадать, но точно уверен, что 99% вирусни пользователь запускает сам, и лишь что-то очень редкое включается автоматически. Раз распространяется через гиперссылки, то я думаю что при заходе на сайт появляется запрос похожий на "Мы используем файлы cookie для улучшения качества работы." и пользователь автоматом жмет Accept или ОК.

[MIner1448]

Уже и до телеграм каналов дошли...
Получается уже есть риски подхватить троян  при переходе через ссылки в телеграме?
Может кто-то уже писал разработчикам телеграм канала, чтоб данную проблему решили?
Или может у кого-то есть решение по данной проблеме?

[johhnyUA]

Вот выдержки из нескольких статей:

Все эти статьи основаны на статье AT&T Alien Labs. Её писали специалисты, в ней подробно описано, что троян делает после запуска. Но, при этом, ничего не сказано о механизме запуска, то есть, какие действия должен сделать пользователь для запуска трояна.

Если то или иное приложение позволяет запускать какой-либо сторонний код без согласия и ведома пользователя - это серьёзная уязвимость, о которой должен быть немедленно поставлен в известность разработчик приложения. Но в исследовании AT&T Alien Lab ни о каких уязвимостях, позволяющих трояну запускаться без согласия пользователя, не говорится. Поэтому, можно предположить, что троян запускается типичным способом, когда пользователь должен сам его скачать и сам же его запустить.

Тут два момента: Во всяких Виндовсах есть автозапуск или автовыполнение, тоесть здесь можно попасть. Можно ведь перейти по ссылке вызвав команду скачивания (а вот автозапуск по дефолту отключен, но есть конечно васяны те еще). Но вообще, полагаю что типичный malware dropper которых и так полно в сети. Там все зависит от вашей операционной системы, выставленых пермишенов и конечно же вашей внимательности.