Kyberbezpečnostní experti varují před novým malwarem, který využívá Telegram jako svou komunikační infrastrukturu (C2). Tento backdoor, napsaný v programovacím jazyce Golang, umožňuje útočníkům provádět PowerShell příkazy, sebedestrukci a exekuci předem definovaných operací.
Nový malware se šíří Telegramem
Hlavním rysem tohoto škodlivého softwaru je jeho schopnost vytvářet bot instance v Telegramu pomocí API tokenu generovaného přes Botfather. Poté neustále naslouchá příkazům přicházejícím z vyhrazeného Telegramového chatu a před spuštěním ověřuje jejich platnost.
Podle odborníků ze společnosti Netskope není využití cloudových služeb pro řízení malwaru ničím novým, ale tento přístup představuje významnou výzvu pro obranu. Kyberzločinci často využívají nejen Telegram, ale i služby jako OneDrive, GitHub nebo Dropbox, což ztěžuje odhalení škodlivé komunikace mezi legitimním uživatelem a útočníkem.
Proč je tento útok nebezpečný?
Útoky založené na cloudových službách jsou obzvláště nebezpečné, protože:
- Nevyžadují složitou infrastrukturu, čímž útočníkům usnadňují práci
- Jsou těžko detekovatelné, protože se jejich komunikace může maskovat jako běžné API dotazy
- Mohou se snadno šířit, pokud se útočníkům podaří proniknout do většího počtu zařízení
Zdroj: Dotekomanie
Netskope nezveřejnil odhad počtu obětí, ale uvedl, že malware pravděpodobně pochází z Ruska.
Jak se chránit?
Ochrana před tímto typem malwaru vyžaduje monitorování síťového provozu, včetně neobvyklé komunikace s Telegramem a dalšími cloudovými službami. Firmy by měly omezit přístup k externím API, nasadit víceúrovňovou ochranu koncových zařízení a pravidelně aktualizovat bezpečnostní politiky.
Malware využívající cloudové služby jako C2 kanály ukazuje, že kyberzločinci stále hledají nové způsoby, jak obejít tradiční bezpečnostní opatření. Zabezpečení IT prostředí proto musí být dynamické a přizpůsobené aktuálním hrozbám.
Zdroj: techradar.com