Phát hiện mã độc chuyên nghe lén, phá hoại đang ẩn mình trên Telegram

00:00 / 0:00

Chuẩn

Tốc độ đọc

Phần mềm độc hại Golang mới đang dùng Telegram như một "đòn bẩy" để tự lây lan khắp nơi.

Một mối đe dọa an ninh mạng mới vừa được các chuyên gia phát hiện, sử dụng ứng dụng nhắn tin quen thuộc Telegram làm "căn cứ" để thực hiện các hành vi phá hoại. Phần mềm độc hại Golang này không chỉ có khả năng nghe lén, mà còn có thể tự lây lan và thực hiện nhiều lệnh nguy hiểm khác.

Các nhà nghiên cứu từ Netskope đã phát hiện ra một loại backdoor (cửa hậu) được xây dựng bằng ngôn ngữ lập trình Golang. Điều đáng nói, backdoor này sử dụng Telegram làm trạm chỉ huy và kiểm soát (C2). Thay vì sử dụng các máy chủ phức tạp, kẻ tấn công tận dụng Telegram để gửi lệnh và nhận thông tin từ backdoor.

Telegram đang là "căn cứ" của mã độc Golang để thực hiện các hành vi phá hoại.

Cụ thể, backdoor này tạo ra một bot Telegram thông qua Botfather, sau đó sử dụng bot này để liên tục lắng nghe các lệnh được gửi đến từ một cuộc trò chuyện Telegram. Trước khi thực hiện bất kỳ hành động nào, backdoor sẽ kiểm tra tính hợp lệ của lệnh.

Việc sử dụng Telegram làm kênh C2 khiến cho việc phát hiện và ngăn chặn backdoor này trở nên cực kỳ khó khăn. Các chuyên gia bảo mật khó có thể phân biệt giữa luồng thông tin độc hại và thông tin bình thường trên Telegram.

"Mặc dù việc sử dụng các ứng dụng đám mây làm kênh C2 không phải là điều chúng ta thấy hàng ngày, nhưng đó là một phương pháp rất hiệu quả được kẻ tấn công sử dụng không chỉ vì không cần triển khai toàn bộ cơ sở hạ tầng cho nó, giúp cuộc sống của kẻ tấn công dễ dàng hơn, mà còn bởi vì rất khó, từ góc độ phòng thủ, để phân biệt đâu là người dùng bình thường đang sử dụng API và đâu là giao tiếp C2", Netskope cho biết.

Ngoài Telegram, các tác nhân đe dọa cũng thường sử dụng các dịch vụ đám mây khác như OneDrive, GitHub, Dropbox... để thực hiện các hành vi tấn công. Netskope không tiết lộ số lượng nạn nhân tiềm năng, nhưng nhấn mạnh rằng phần mềm độc hại này rất có thể có nguồn gốc từ Nga.

Sự xuất hiện của backdoor Golang này là một lời cảnh báo về nguy cơ tiềm ẩn từ các ứng dụng quen thuộc. Người dùng cần nâng cao cảnh giác, cập nhật phần mềm bảo mật thường xuyên và không mở các liên kết hoặc tệp tin đáng ngờ.