Тайная жизнь Telegram-бота: от накрутки просмотров до кражи данных

Специалисты Checmarx обнаружили PyPI-пакеты, содержащие вредоносный скрипт в файле «init.py», который передает данные пользователей боту в Telegram.

Вредоносные пакеты, загруженные пользователем «dsfsdfds», оказались частью крупной киберпреступной операции. Основная цель кампании – кража конфиденциальных данных пользователей и их передача Telegram-боту, связанному с киберпреступниками из Ирака. Операция активна с 2022 года. Telegram-канал с ботом содержит более 90 000 сообщений на арабском языке.

Список вредоносных пакетов на PyPI включает:

• testbrojct2
• proxyfullscraper
• proxyalhttp
• proxyfullscrapers

Вредоносный скрипт в пакетах сканирует файловую систему жертвы, особенно корневую папку и папку DCIM. Скрипт ищет файлы с расширениями «.py», «.php», «.zip», а также изображения с расширениями «.png», «.jpg» и «.jpeg». Обнаруженные файлы и их пути в файловой системе эксфильтруются в Telegram без ведома пользователя.

Жестко закодированная конфиденциальная информация, такая как токен бота и идентификатор чата, позволила исследователям получить данные об инфраструктуре и операциях киберпреступников. Исследователи получили доступ к Telegram-боту и мониторили его деятельность.

История активности бота уходит в 2022 год, задолго до выпуска вредоносных пакетов на PyPI. Сообщения в основном были на арабском языке. В ходе анализа выяснилось, что оператор бота поддерживал множество других ботов и, вероятно, базировался в Ираке.

Изначально бот функционировал как подпольный рынок, предлагая услуги по накрутке просмотров и подписчиков в Telegram и Instagram*, спам-услуги и скидки на подписки Netflix. Однако дальнейшее изучение истории сообщений выявило более опасные активности, связанные с финансовым мошенничеством и компрометацией систем жертв.

Обнаружение вредоносных пакетов и последующее расследование Telegram-бота пролили свет на сложную киберпреступную операцию. Первоначально единичный случай вредоносных пакетов оказался вершиной айсберга, открыв криминальную экосистему. Исследовательская команда Checkmarx продолжает расследование атаки, чтобы получить дополнительные данные о методах злоумышленников.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.