Обнаружен троян TgRat для Linux, управляемый через Telegram

Специалисты из компании «Доктор Веб» идентифицировали новую угрозу для систем на базе Linux — троян TgRat, который контролируется с помощью Telegram-бота. Это открытие стало результатом расследования безопасности, проведенного по запросу компании, предоставляющей услуги хостинга, после обнаружения подозрительного файла на одном из серверов.

TgRat, впервые выявленный в 2022 году как вредоносное ПО для Windows, был разработан для тайного сбора данных с зараженных устройств. В его основе лежит идея использования мессенджера Telegram в качестве канала управления, что позволяет злоумышленникам отправлять команды и получать данные с инфицированных машин.

В версии трояна для Linux, помимо прочего, используется шифрование RSA для защиты коммуникаций и bash-скрипты для выполнения операций, что значительно расширяет возможности вредоносного ПО. При запуске TgRat проверяет, соответствует ли хеш имени машины заранее заданному значению, и только при совпадении начинает действовать.

Для взаимодействия с злоумышленниками троян использует закрытую группу в Telegram. Это позволяет операторам трояна дистанционно и незаметно управлять вредоносным ПО, отправляя команды для скачивания файлов, захвата экрана, выполнения дополнительных команд или загрузки новых файлов в систему.

Эксперты отмечают, что выявление таких атак возможно при тщательном анализе сетевого трафика: обычно серверы не должны активно общаться с Telegram-серверами, и такое поведение может служить сигналом к наличию вредоносного ПО.