Хакери поширюють фальшивий Telegram, щоб зламати вас: як не попастися на гачок

Ця атака використовує методи соціальної інженерії та багаторівневу структуру виконання коду. Щоб уникнути її, може бути достатньо звичайної уважності. Про це пише Cyber Press.

Дивіться також Іранський додаток для молитви зламали, щоб розіслати антиурядові сповіщення 5 мільйонам людей 

Як працює схема?

Дослідники у сфері кібербезпеки виявили масштабну кампанію, яка використовує фальшивий сайт для завантаження месенджера Telegram з метою розповсюдження вірусів. Зловмисники використовують тактику тайпосквотингу – реєстрацію доменних імен, які дуже схожі на офіційні, наприклад, telegrarn[.]com, telegrgam[.]com, telefgram[.]com або tejlegram[.]com. Вони копіюють дизайн офіційного порталу Telegram, що вводить користувачів в оману та змушує їх завантажувати шкідливий інсталятор.

Файл, який пропонують завантажити, має назву tsetup-x64.6.exe, що повністю відповідає стандартній логіці найменування офіційних оновлень месенджера.

Що робить вірус?

Після запуску цього файлу починається складний ланцюг інфікування, метою якого є обхід систем виявлення та встановлення довгострокового доступу до комп'ютера жертви.

На першому етапі програма проводить перевірку запущених процесів через командний рядок, шукаючи специфічні додатки, зокрема процес 0tray.exe, що може свідчити про роботу засобів захисту або наявність інших інфекцій у системі.

Одним із найнебезпечніших кроків є спроба нейтралізувати вбудований захист Windows. Шкідливий код виконує команду PowerShell, яка додає всі диски системи до списку виключень Windows Defender. Це фактично зупиняє антивірусне сканування на цих накопичувачах, дозволяючи вірусу працювати абсолютно непомітно для стандартних інструментів безпеки.

Технологія виконання основного шкідливого компонента також вирізняється високим рівнем майстерності. Замість прямого запуску підозрілих файлів, хакери використовують легітимну системну утиліту rundll32.exe для запуску бібліотеки AutoRecoverDat.dll. 

Сама бібліотека не містить вірусного коду у відкритому вигляді. Вона зчитує дані з XML-файлу під назвою GPUCache.xml, де заховано зашифрований код. У процесі роботи бібліотека витягує ці дані та реконструює повноцінний шкідливий об'єкт безпосередньо в оперативній пам'яті комп'ютера. 

Такий підхід, відомий як безфайлове виконання, значно ускладнює роботу антивірусів, оскільки на жорсткому диску не створюється явних небезпечних файлів.

Після активації в пам'яті вірус встановлює зв'язок із сервером керування за IP-адресою 27.50.59.77 через порт 18852, пише GBHackers. Це дозволяє нападникам віддалено надсилати команди на заражений пристрій, завантажувати оновлені компоненти та підтримувати постійний контроль над системою. 

Аналіз мережевого трафіку показав, що програма регулярно отримує нові модулі, що дає можливість хакерам змінювати функціонал вірусу без необхідності повторного завантаження початкового інсталятора користувачем.

Що робити?

Фахівці наголошують, що для захисту необхідно користуватися лише офіційними джерелами програмного забезпечення. Для цього варто уважно перевіряти сторінки, на які ви заходите, буквально читаючи кожну букву. Не варто завантажувати будь-що з рекламних публікацій у соцмережах чи Google. Натомість користуйтеся звичайним Google-пошуком для переходу на сайти – легітимні адреси завжди видаються першими.

Крім того, варто мати надійні системи безпеки, здатні розпізнавати підозрілу поведінку процесів у системі. Оновлюйте ваш антивірус регулярно, якщо це не відбувається автоматично.