Bitcoin Forum
October 31, 2024, 10:34:34 AM *
News: Bitcoin Pumpkin Carving Contest
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: В телеге свирепствует RAT троян.  (Read 246 times)
This is a self-moderated topic. If you do not want to be moderated by the person who started this topic, create a new topic. (1 posts by 1 users with 3 merit deleted.)
soliton (OP)
Hero Member
*****
Offline Offline

Activity: 969
Merit: 683

___________/\_______


View Profile WWW
August 14, 2021, 06:07:36 AM
Last edit: January 17, 2022, 03:00:19 PM by soliton
Merited by klarki (1), diks (1), Symmetrick (1), xenon131 (1)
 #1

С
Cryptmuster
Legendary
*
Offline Offline

Activity: 2100
Merit: 1351



View Profile
August 14, 2021, 02:02:08 PM
Merited by klarki (1)
 #2

Собственно по сабжу. Троян, который получил имя FatalRAT, распространяется через гиперссылки, которым следует пользователи телеграмм-каналов.  FatalRAT предоставляет злоумышленникам удаленный доступ к компьютерам своих жертв, на которых в последствии могут быть установлены кейлогеры, взломаны слабые пароли, модифицирован регистр и сделаны другие гадости. Троян обладает придвинутыми свойствами и дает возможность хакерам  анализировать зараженные компьютеры на наличие виртуальных машин и отключать  возможность блокировки компьютера с помощью
CTRL+ALT+DELETE. С этой целью в регистре ключу DisableLockWorkstation назначается  "1".


Все детали об этом трояне можно посмотреть на странице лаборатории безопасности  AT&T, в которай по факту его и обнаружили.  

Это пользователь подвергается атаке если пройдёт по ссылке, или как? Я не совсем понял. Если телеграмма нету на компе, то даннаый троян не опасен для пользователя?

 
 RAZED  
███████▄▄▄████▄▄▄▄
████▄███████████████
██▄██████▀▀████▀▀█████▄
████
██████████████
▄████████▄████████████▄
████████▀███████████▄
██████████████▐█▄█▀████████
▀████████████▌▐█▀██████████
▀███████████▌▀████████████
█████████▄▄▄
█████▄▄██████
████████████████████████
█████▀█████████████████▀
██████████████
▄▄███████▄▄
▄███████████████
▄███████████████████▄
█████████████████████▄
▄███████████████████████▄
████████████████████████
█████████████████████████
██████████████████████
▀█████
█████████████████▀
▀█
████████████████████▀
▀█████
█████████████
▀███████████████▀
█████████
 
RAZED ORIGINALS
SLOTS & LIVE CASINO
SPORTSBOOK
|
 NO 
KYC
 
 RAZE THE LIMITS   PLAY NOW 
Xal0lex
Moderator
Legendary
*
Offline Offline

Activity: 2632
Merit: 2610



View Profile WWW
August 14, 2021, 05:06:13 PM
Merited by Cryptmuster (1), Symmetrick (1)
 #3

Это пользователь подвергается атаке если пройдёт по ссылке, или как? Я не совсем понял.

Если ссылка заражена, то да.

Если телеграмма нету на компе, то даннаый троян не опасен для пользователя?

Теоретически, любая ссылка, заражённая этим РАТом и размещённая на открытых площадках, таких как форумы, открытые каналы в Telegram, Twitter, FB и так далее, может быть потенциально опасной. Особенно короткие ссылки. Захотел посмотреть сиськи - получи, захотел скачать халяву - получи, увидел ссылку на новость, что биткоин будет стоить завтра лям баксов - получи Wink

Опять же, теоретически, такая ссылка(и) может спокойно появиться и на нашем форуме. С виду она якобы будет вести на какую-нибудь интересную новость, а на самом деле...

Но наиболее вероятнее всего запустить дроппер к себе именно через Telegram. Товарищ вирусописатель выбрал такой способ распространения своего детища, потому что Telegram достаточно анонимен и рега там простейшая: достаточно иметь какой-нибудь левый номер телефона.

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
Cryptmuster
Legendary
*
Offline Offline

Activity: 2100
Merit: 1351



View Profile
August 15, 2021, 10:04:35 AM
 #4

Если ссылка заражена, то да.

Если телеграмма нету на компе, то даннаый троян не опасен для пользователя?

Теоретически, любая ссылка, заражённая этим РАТом и размещённая на открытых площадках, таких как форумы, открытые каналы в Telegram, Twitter, FB и так далее, может быть потенциально опасной. Особенно короткие ссылки. Захотел посмотреть сиськи - получи, захотел скачать халяву - получи, увидел ссылку на новость, что биткоин будет стоить завтра лям баксов - получи Wink

Опять же, теоретически, такая ссылка(и) может спокойно появиться и на нашем форуме. С виду она якобы будет вести на какую-нибудь интересную новость, а на самом деле...

Но наиболее вероятнее всего запустить дроппер к себе именно через Telegram. Товарищ вирусописатель выбрал такой способ распространения своего детища, потому что Telegram достаточно анонимен и рега там простейшая: достаточно иметь какой-нибудь левый номер телефона.

Ого, это жесть конечно, просто по ссылки на новости, или даже с картинки можно словить... Не думал, что все работает именно так, предполагал что, что бы поймать какую то программу вредную, обязательно нужно ее установить себе на камп.

 
 RAZED  
███████▄▄▄████▄▄▄▄
████▄███████████████
██▄██████▀▀████▀▀█████▄
████
██████████████
▄████████▄████████████▄
████████▀███████████▄
██████████████▐█▄█▀████████
▀████████████▌▐█▀██████████
▀███████████▌▀████████████
█████████▄▄▄
█████▄▄██████
████████████████████████
█████▀█████████████████▀
██████████████
▄▄███████▄▄
▄███████████████
▄███████████████████▄
█████████████████████▄
▄███████████████████████▄
████████████████████████
█████████████████████████
██████████████████████
▀█████
█████████████████▀
▀█
████████████████████▀
▀█████
█████████████
▀███████████████▀
█████████
 
RAZED ORIGINALS
SLOTS & LIVE CASINO
SPORTSBOOK
|
 NO 
KYC
 
 RAZE THE LIMITS   PLAY NOW 
A-Bolt
Legendary
*
Offline Offline

Activity: 2334
Merit: 2374


View Profile
August 15, 2021, 12:00:13 PM
 #5

Ого, это жесть конечно, просто по ссылки на новости, или даже с картинки можно словить...
Где вы взяли эту информацию? Я пытался найти хоть какую-то информацию по механизму запуска этого FatalRAT, но безуспешно. Поделитесь ссылкой?
Evgenklm
Member
**
Offline Offline

Activity: 896
Merit: 17


View Profile
August 15, 2021, 07:06:42 PM
 #6

Почему то всегда троянов в телегу заводят, я понимаю что телеграмм стал мягко говоря крипто мессендером, но все же телеграмм должен тоже как-то содействовать безопасности своих пользователей, и сами пользователи должны быть бдительны и осторожны, главное на ссылки подозрительные не переходить.
Xal0lex
Moderator
Legendary
*
Offline Offline

Activity: 2632
Merit: 2610



View Profile WWW
August 15, 2021, 07:59:09 PM
 #7

Вот выдержки из нескольких статей:

Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.

Троян FatalRAT спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв с виду безобидными ресурсами, в том числе фейковыми копиями СМИ.

При этом зловредное ПО способно не только управлять внешними соединениями и веб-браузерами, но и вносить изменения в систему без ведома владельца устройства. Под угрозой также оказываются одноразовые пароли, рассылаемые банками и другими сервисами в качестве одной из ступеней аутентификации. В AT&T считают, что этот вирус представляет собой угрозу нового типа, на основе которой будут создавать более совершенные типы вредоносных программ.


Троян распространяется посредством уязвимости загрузки приложений или статей в Telegram.


The malware, dubbed FatalRAT, can be remotely executed...

То есть, "Вредоносная программа, получившая название FatalRAT, может быть выполнена удалённо..."

█▀▀▀











█▄▄▄
▀▀▀▀▀▀▀▀▀▀▀
e
▄▄▄▄▄▄▄▄▄▄▄
█████████████
████████████▄███
██▐███████▄█████▀
█████████▄████▀
███▐████▄███▀
████▐██████▀
█████▀█████
███████████▄
████████████▄
██▄█████▀█████▄
▄█████████▀█████▀
███████████▀██▀
████▀█████████
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
c.h.
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀▀█











▄▄▄█
▄██████▄▄▄
█████████████▄▄
███████████████
███████████████
███████████████
███████████████
███░░█████████
███▌▐█████████
█████████████
███████████▀
██████████▀
████████▀
▀██▀▀
A-Bolt
Legendary
*
Offline Offline

Activity: 2334
Merit: 2374


View Profile
August 15, 2021, 11:02:52 PM
Merited by Symmetrick (1)
 #8

Вот выдержки из нескольких статей:
Все эти статьи основаны на статье AT&T Alien Labs. Её писали специалисты, в ней подробно описано, что троян делает после запуска. Но, при этом, ничего не сказано о механизме запуска, то есть, какие действия должен сделать пользователь для запуска трояна.

Если то или иное приложение позволяет запускать какой-либо сторонний код без согласия и ведома пользователя - это серьёзная уязвимость, о которой должен быть немедленно поставлен в известность разработчик приложения. Но в исследовании AT&T Alien Lab ни о каких уязвимостях, позволяющих трояну запускаться без согласия пользователя, не говорится. Поэтому, можно предположить, что троян запускается типичным способом, когда пользователь должен сам его скачать и сам же его запустить.

The malware, dubbed FatalRAT, can be remotely executed...
Это утверждение сделано на основе предложения из статьи AT&T Alien Labs:
Quote
FatalRAT is a remote access trojan with a wide set of capabilities that can be executed remotely by an attacker.

И тут мне как всегда не хватает знания английского, чтобы понять к чему относится that can be executed remotely by an attacker: к trojan или к capabilities. В последнем случае речь идёт об удалённом выполнении функций трояна уже после запуска самого трояна. А каким способом запускается троян, остаётся загадкой.
TopTort777
Legendary
*
Offline Offline

Activity: 2464
Merit: 1492



View Profile
August 16, 2021, 10:42:19 AM
 #9

Пользователям телефон и планшетов можно спать спокойно? Или устройства на андроиде все равно находятся в зоне риска (хотя они и так всегда в нем).

И тут мне как всегда не хватает знания английского, чтобы понять к чему относится that can be executed remotely by an attacker: к trojan или к capabilities. В последнем случае речь идёт об удалённом выполнении функций трояна уже после запуска самого трояна. А каким способом запускается троян, остаётся загадкой.

Могу лишь гадать, но точно уверен, что 99% вирусни пользователь запускает сам, и лишь что-то очень редкое включается автоматически. Раз распространяется через гиперссылки, то я думаю что при заходе на сайт появляется запрос похожий на "Мы используем файлы cookie для улучшения качества работы." и пользователь автоматом жмет Accept или ОК.

███████████████████████████
███████▄████████████▄██████
████████▄████████▄████████
███▀█████▀▄███▄▀█████▀███
█████▀█▀▄██▀▀▀██▄▀█▀█████
███████▄███████████▄███████
███████████████████████████
███████▀███████████▀███████
████▄██▄▀██▄▄▄██▀▄██▄████
████▄████▄▀███▀▄████▄████
██▄███▀▀█▀██████▀█▀███▄███
██▀█▀████████████████▀█▀███
███████████████████████████
 
 Duelbits 
██
██
██
██
██
██
██
██

██

██

██

██

██
TRY OUR UNIQUE GAMES!
    ◥ DICE  ◥ MINES  ◥ PLINKO  ◥ DUEL POKER  ◥ DICE DUELS   
█▀▀











█▄▄
 
███
▀▀▀
███
▀▀▀
███
▀▀▀
███
▀▀▀

███
▀▀▀
███
▀▀▀
 
███
▀▀▀

███
▀▀▀
███
▀▀▀
███
▀▀▀
███
▀▀▀
███
▀▀▀
 
███
▀▀▀
███
▀▀▀
███
▀▀▀
███
▀▀▀

███
▀▀▀
███
▀▀▀
 
███
▀▀▀
███
▀▀▀
███
▀▀▀

███
▀▀▀
███
▀▀▀
███
▀▀▀
 
███
▀▀▀
███
▀▀▀

███
▀▀▀
███
▀▀▀
███
▀▀▀

███
▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
 KENONEW 
 
▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄
▀▀█











▄▄█
10,000x
 
MULTIPLIER
██
██
██
██
██
██
██
██

██

██

██

██

██
 
NEARLY
UP TO
50%
REWARDS
██
██
██
██
██
██
██
██

██

██

██

██

██
[/tabl
MIner1448
Member
**
Offline Offline

Activity: 938
Merit: 13

Tontogether | Save Smart & Win Big


View Profile
August 19, 2021, 03:18:01 PM
 #10

Уже и до телеграм каналов дошли...
Получается уже есть риски подхватить троян  при переходе через ссылки в телеграме?
Может кто-то уже писал разработчикам телеграм канала, чтоб данную проблему решили?
Или может у кого-то есть решение по данной проблеме?
johhnyUA
Legendary
*
Offline Offline

Activity: 2436
Merit: 1849


Crypto for the Crypto Throne!


View Profile
August 19, 2021, 09:54:32 PM
 #11

Вот выдержки из нескольких статей:
Все эти статьи основаны на статье AT&T Alien Labs. Её писали специалисты, в ней подробно описано, что троян делает после запуска. Но, при этом, ничего не сказано о механизме запуска, то есть, какие действия должен сделать пользователь для запуска трояна.

Если то или иное приложение позволяет запускать какой-либо сторонний код без согласия и ведома пользователя - это серьёзная уязвимость, о которой должен быть немедленно поставлен в известность разработчик приложения. Но в исследовании AT&T Alien Lab ни о каких уязвимостях, позволяющих трояну запускаться без согласия пользователя, не говорится. Поэтому, можно предположить, что троян запускается типичным способом, когда пользователь должен сам его скачать и сам же его запустить.

Тут два момента: Во всяких Виндовсах есть автозапуск или автовыполнение, тоесть здесь можно попасть. Можно ведь перейти по ссылке вызвав команду скачивания (а вот автозапуск по дефолту отключен, но есть конечно васяны те еще). Но вообще, полагаю что типичный malware dropper которых и так полно в сети. Там все зависит от вашей операционной системы, выставленых пермишенов и конечно же вашей внимательности.

.freebitcoin.       ▄▄▄█▀▀██▄▄▄
   ▄▄██████▄▄█  █▀▀█▄▄
  ███  █▀▀███████▄▄██▀
   ▀▀▀██▄▄█  ████▀▀  ▄██
▄███▄▄  ▀▀▀▀▀▀▀  ▄▄██████
██▀▀█████▄     ▄██▀█ ▀▀██
██▄▄███▀▀██   ███▀ ▄▄  ▀█
███████▄▄███ ███▄▄ ▀▀▄  █
██▀▀████████ █████  █▀▄██
 █▄▄████████ █████   ███
  ▀████  ███ ████▄▄███▀
     ▀▀████   ████▀▀
BITCOIN
DICE
EVENT
BETTING
WIN A LAMBO !

.
            ▄▄▄▄▄▄▄▄▄▄███████████▄▄▄▄▄
▄▄▄▄▄██████████████████████████████████▄▄▄▄
▀██████████████████████████████████████████████▄▄▄
▄▄████▄█████▄████████████████████████████▄█████▄████▄▄
▀████████▀▀▀████████████████████████████████▀▀▀██████████▄
  ▀▀▀████▄▄▄███████████████████████████████▄▄▄██████████
       ▀█████▀  ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀  ▀█████▀▀▀▀▀▀▀▀▀▀
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
.PLAY NOW.
Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!