fbpx
Октябрь 2, 2019 9:10 | alina |

Новая шпионская программа Masad использует ботов Telegram в качестве командного центра (C2). Она собирает информацию пользователей операционных систем Windows и Android, а также может красть криптовалюту из кошельков жертв.

По отчетам Juniper Threat Labs, одна из самых интересных особенностей этой программы — отправка собранных данных Telegram-ботам. Эксперты считают, что это крайне интересная реализация C2-механизма.

Для подключения к боту, Masad отправляет сообщение getMe, используя заданный в коде токен — это позволяет убедиться, что бот все ещё активен. После сбора данных вредонос упаковывает их в ZIP-архив и отправляет с помощью API sendDocument.

«При получении запроса бот отвечает строкой, содержащей его имя. Имя бота полезно для идентификации хакерской группы, которая использует Masad. Это ключевой момент, так как сам принцип шпиона подразумевает, что разные группировки могут использовать его для разных целей», — поделились исследователи Juniper Threat Labs.
Эксперты насчитали более тысячи образцов Masad, используемых в реальных атаках. А в качестве C2 были задействованы 338 уникальных ботов Telegram.

Также разработчики шпионской программы создали специальный канал в Telegram для связи с потенциальными клиентами и технической поддержки. По последним данным в ней состоят более 300 участников.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.