有时一件事需要一个小虫子才能在其他地方找到大量的东西。
在最近的一次调查中,安全公司Forcepoint实验室表示,他们发现了一种新的恶意软件,它接受了一名通过加密通讯应用Telegram发送指令的黑客的指令。
研究人员将他们新发现的名为GoodSender的恶意软件描述为一种“相当简单”的基于Windows的恶意软件,已有大约一年的历史,它使用Telegram作为监听和等待命令的方法。一旦恶意软件感染了它的目标,它就会创建一个新的管理员帐户,并启用远程桌面,然后等待。恶意软件一旦感染,就会通过电报将用户名和随机生成的密码发送给黑客。
这不是恶意软件第一次使用商业产品与恶意软件通信;黑客是在Twitter上发布的图片中隐藏命令或在评论中在名人Instagram上留言.
但是使用加密的信使会让人更难察觉。至少这是理论。
Forcepoint在周四的研究中说,只有在发现漏洞后才发现该恶意软件。在电报里出了名的坏加密.
端到端消息是使用应用程序专有的MTProto协议加密的,长期被加密者抨击为泄漏元数据和有缺陷,相提并论“被叉子刺伤眼睛”然而,它的机器人只使用传统的TLS或HTTPS进行通信。研究人员说,泄漏的元数据使得中间人很容易连接并滥用机器人的api来读取bot发送和接收的消息,而且还可以恢复目标机器人的全部消息传递历史。
当研究人员发现黑客使用电报机器人与恶意软件通信时,他们深入了解了更多。
幸运的是,他们能够将机器人的整个消息历史追溯到恶意软件,因为每条消息都有一个唯一的消息ID,这个ID会逐渐增加,使研究人员能够运行一个简单的脚本来重放和刮掉机器人的会话历史。
GoodSender恶意软件是活动的,并发送它的第一个受害者信息(图片:Forcepoint)
研究人员说:“这意味着我们可以追踪(黑客)在创建和部署恶意软件方面迈出的第一步,一直到目前的活动,包括与受害者和测试机器的通信。”
你的机器人被发现,你的恶意软件被发现-什么能让黑客更糟?研究人员知道他们是谁。
由于黑客没有明确区分他们的开发和生产工作空间,研究人员说,他们可以跟踪恶意软件作者,因为他们使用自己的计算机,没有掩盖他们的IP地址。
研究人员还可以确切地看到恶意软件会听什么命令:截图、删除或下载文件、获取IP地址数据、复制剪贴板中的任何内容,甚至重新启动PC。
但研究人员并没有得到所有的答案。恶意软件最初是如何进入受害者电脑的?他们怀疑他们使用了所谓的“永恒蓝色漏洞”,一种黑客工具。针对Windows计算机而设计的,由国家安全局开发,从国家安全局盗用,以获取未加补丁的计算机。他们不知道有多少受害者,除了美国可能有120多名受害者,其次是越南、印度和澳大利亚。
Forcepoint向电报通报了该漏洞。TechCrunch还联系了Telegram的创始人和首席执行官帕维尔·杜罗夫但没有回音。
如果有什么教训的话?在电报上小心使用机器人-当然也不要在恶意软件上使用电报。