Тайная жизнь Telegram-бота: от накрутки просмотров до кражи данных

Тайная жизнь Telegram-бота: от накрутки просмотров до кражи данных

Что скрывается за безобидными PyPI-пакетами?

image

Специалисты Checmarx обнаружили PyPI-пакеты, содержащие вредоносный скрипт в файле «init.py», который передает данные пользователей боту в Telegram.

Вредоносные пакеты, загруженные пользователем «dsfsdfds», оказались частью крупной киберпреступной операции. Основная цель кампании – кража конфиденциальных данных пользователей и их передача Telegram-боту, связанному с киберпреступниками из Ирака. Операция активна с 2022 года. Telegram-канал с ботом содержит более 90 000 сообщений на арабском языке.

Список вредоносных пакетов на PyPI включает:

  • testbrojct2
  • proxyfullscraper
  • proxyalhttp
  • proxyfullscrapers

Вредоносный скрипт в пакетах сканирует файловую систему жертвы, особенно корневую папку и папку DCIM. Скрипт ищет файлы с расширениями «.py», «.php», «.zip», а также изображения с расширениями «.png», «.jpg» и «.jpeg». Обнаруженные файлы и их пути в файловой системе эксфильтруются в Telegram без ведома пользователя.

Жестко закодированная конфиденциальная информация, такая как токен бота и идентификатор чата, позволила исследователям получить данные об инфраструктуре и операциях киберпреступников. Исследователи получили доступ к Telegram-боту и мониторили его деятельность.

История активности бота уходит в 2022 год, задолго до выпуска вредоносных пакетов на PyPI. Сообщения в основном были на арабском языке. В ходе анализа выяснилось, что оператор бота поддерживал множество других ботов и, вероятно, базировался в Ираке.

Изначально бот функционировал как подпольный рынок, предлагая услуги по накрутке просмотров и подписчиков в Telegram и Instagram*, спам-услуги и скидки на подписки Netflix. Однако дальнейшее изучение истории сообщений выявило более опасные активности, связанные с финансовым мошенничеством и компрометацией систем жертв.

Обнаружение вредоносных пакетов и последующее расследование Telegram-бота пролили свет на сложную киберпреступную операцию. Первоначально единичный случай вредоносных пакетов оказался вершиной айсберга, открыв криминальную экосистему. Исследовательская команда Checkmarx продолжает расследование атаки, чтобы получить дополнительные данные о методах злоумышленников.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь