恶意软件疯狂传播！波及全球164个国家，超25万用户遭受攻击

为了寻找必要的软件，用户经常访问torrent资源，而不知道这种数据交换的危险性。然而，通过下载和安装此类软件，用户允许攻击者访问其个人信息和银行账户，如果公司计算机被感染，攻击者将控制该设备，并利用该设备在针对雇主公司的攻击链中组织中间节点。

2023年8月，Positive Technologies的SOC专家在一家俄罗斯公司发现了异常活动。事件需要PT CSIRT团队（PT专家安全中心的一个部门）进行干预。专家们发现，被调查的公司的用户是未知恶意软件的受害者。

详细的全面调查中，在164个国家发现了受害者。绝大多数（超过20万）在俄罗斯、乌克兰、白俄罗、乌兹别克斯坦。还包括来自印度、菲律宾、巴西、波兰和德国的用户。

根据CSIRT的数据，攻击主要针对下载非法软件的非公司用户，但受害者包括政府机构、教育机构、石油和天然气公司、医疗、建筑、零售和IT公司。他们都收到了威胁通知。

Positive Technologies安全专家中心网络威胁研究主管Denis Kuvshinov表示：“一旦安装，这种恶意软件的行为就会非常复杂：它收集有关受害者计算机的信息，安装 RMS（用于远程控制）程序和 XMRig 矿工，并存档用户 Telegram 文件夹 （tdata） 的内容——这些只是在短时间内观察中最活跃的行动。在我们观察到的一个特定案例中，恶意软件将收集到的信息从用户的企业笔记本电脑发送到Telegram bot，它在该链中充当控制服务器。”

专家指出，入侵者访问了Telegram文件夹，进入用户的Telegram会话并监视通信，从帐户中提取数据，同时保持隐身。即使用户设置了双因素身份验证，黑客也可以通过使用暴力强制（Brute Force）来成功地绕过它。建议Telegram用户在检测到黑客迹象后结束当前会话并再次登录Messenger。