Троян примечателен тем, что использует облачные сервисы для обхода традиционных сканеров безопасности.
Исследователи безопасности из Netscope Threat Research Labs обнаружили новый троян для удаленного доступа (Remote Access Trojan, RAT), использующий сервис Dropbox в качестве хоста и мессенджер Telegram в качестве C&C-сервера.
По словам экспертов, троян примечателен тем, что задействует облачные сервисы для обхода традиционных сканеров безопасности, которые не могут проверить SSL или обеспечить анализ трафика на уровне облачных приложений.
Вредонос, получивший название TelegramRAT, распространяется под видом вредоносного документа Microsoft Office, эксплуатирующего уязвимость CVE-2017-11882, исправленную Microsoft в минувшем месяце. Троян использует переадресацию сервиса Bit.ly для сокрытия вредоносной нагрузки, размещенной на облачном сервисе Dropbox.
Вредоносная нагрузка создана на основе открытого исходного кода Python TelegramRAT, размещенного на GitHub. Уникальной особенностью данного вредоносного ПО является использование Telegram BOT API для получения команд и отправки сообщений по HTTPS. Таким образом трояну удается оставаться незамеченным для традиционных средств сетевой безопасности, пояснили специалисты.
Спойлер: она начинается с подписки на наш канал