В Telegram начали массово «угонять» каналы, используя вирусы-стилеры

С помощью программы-стилера стоимостью в 15 тысяч рублей можно легко «угнать» Telegram-канал, аудитория которого собиралась годами. Сколько удастся выручить, будет зависеть от оперативности службы поддержки, потому что после «угона» начинается соревнование на скорость. Взломщики как можно скорее пытаются продать канал перекупщикам, а те ищут конечного клиента. Последним важно разместить в канале как можно больше рекламы, в том числе под видом авторских постов, пока читатели не узнали об «угоне» или пока не пришла служба поддержки.

В конце января 2021 года в Telegram участились хакерские атаки на владельцев каналов. Мошенники пытаются завладеть учетными записями администраторов, рассылая им зараженные файлы под видом рекламной презентации. Под угрозой «угона» оказался, например, Telegram-канал «База».

Daily Storm удалось найти как минимум четыре Telegram-канала, в случае с которыми злоумышленники достигли своей цели. По словам настоящих владельцев «угнанных» каналов, техподдержка мессенджера не отвечает на их письма.

Как рассказали Daily Storm в компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений, мошенники используют вирус, который часто применяется для воровства «учеток» игроков GTA San Andreas Online.

Вторая волна

Январские атаки хакеров — это своего рода вторая волна: первые попытки воровства каналов с помощью «рекламных презентаций» фиксировались в ноябре 2020 года.

«Добрый день, представляю интересы компании GeekBrains… Мы очень заинтересованы в рекламном сотрудничестве с вашим Telegram-каналом (разовый рекламный пост). Нам необходимо получить ваше согласие к сотрудничеству, а также прайс на рекламу», — типовое сообщение мошенника, ворующего Telegram-каналы.

Вместо образовательной платформы GeekBrains в мошенническом сообщении может фигурировать онлайн-университет Skillbox или онлайн-школа «Умскул».

Иногда злоумышленники параллельно с забросом рекламного предложения уточняют, является ли их адресат менеджером канала или его администратором. Это делается для того, чтобы не тратить время на человека, не имеющего доступа к «админке», — в таком случае взлом не удастся.

Далее злоумышленник присылает файл или архив с вирусом, который якобы является видеопрезентацией или рекламным текстом. Троян «вшит» в файлы с расширением «.scr», «.com», реже — «.doc» и имеет название вроде «условия_сотрудничества» или «промо-видео».

Разработчики вирусов любят использовать формат файла «.scr» из-за того, что оно напоминает слово «скриншот» и вызывает меньше подозрений у пользователя. Если администратор канала откроет его — в считанные минуты потеряет доступ к своему ресурсу. Мошенник удаляет всех админов из канала, меняет контакты и становится его полноправным владельцем. 

Подобные рассылки стали массовым явлением в середине января 2021 года.

18 января стало известно о получении мошеннического письма администраторами «Базы». А еще за четыре дня до этого о попытке "угона" написал канал Denis Sexy IT (26,5 тысячи подписчиков) — мошенники безуспешно пытались украсть его ресурс. В конце диалога со злоумышленником администратор уточнил у него, как много каналов удается угнать в сутки.

«Много. А что?» — ответил мошенник.

Подсчитать точное количество украденных каналов затруднительно. Daily Storm достоверно знает как минимум о четырех Telegram-ресурсах, украденных недавно с помощью файлов-троянов.

7 января злоумышленники «угнали» канал «ПроСпартак» (6,5 тысячи подписчиков на момент взлома). Теперь он рекламирует Telegram-бота, имитирующего работу интернет-казино.

18 января мошенники «угнали» два Telegram-канала для геймеров: «Убойный игрок» (76 тысяч подписчиков на момент взлома) и Black Star Gaming (17,6 тысячи подписчиков на момент взлома). По словам основателя каналов, ему не удалось вернуть доступ. 

«Написал множество сообщений техподдержке Telegram. Еще около 30 человек писали им (техподдержке. — Примеч. Daily Storm) по моей просьбе. Никто не отвечает», — рассказывает Daily Storm настоящий владелец каналов. 

В тот же день, 18 января, админ Telegram-канала trCamera Cloud (25 тысяч подписчиков на момент взлома) Дмитрий открыл зловредный файл и уже через минуту потерял доступ к своему каналу. Ресурс размещал обновления к специальному приложению для улучшения камеры смартфона, чаще всего — моделей Xiaomi.

В разговоре с Daily Storm Дмитрий отметил, что техподдержка Telegram не ответила ему на письма с просьбой о помощи:

«От поддержки реакции — ноль. Подписчики уходят, два года работы ушли вместе с деньгами». 

Сейчас канал Дмитрия переименован в «Продажа каналов», а аватарка изменена на изображение фургона с нецензурной надписью, содержащей синоним слова «украли». Настоящий владелец канала вынужденно создал новый ресурс. За два дня он собрал 1,2 тысячи подписчиков. Но до полного восстановления далеко: необходимо еще 24 тысяч фолловеров.

«Пытаюсь нарастить аудиторию с помощью дружественной сетки каналов. Получается, но медленно», — рассказывает Дмитрий.

Он также уточнил, что за взломанный канал злоумышленник просил выкуп в размере 20 тысяч рублей. Все посты к тому моменту были удалены. Дмитрий отказался платить. 

«Мне проще рекламу купить», — уточнил он.

Daily Storm связался с человеком, чьи контакты указаны на канале Дмитрия. Он рассказал, что перепродает украденные каналы с аудиторией за 100 тысяч подписчиков за 40 тысяч рублей и более («зависит от реального охвата»). Сам он — перекупщик. Это второе звено в цепочке людей, зарабатывающих на угонах.

У хакера перекупщик обычно «забирает» подобный канал (со 100 тысячами подписчиков) за 30 тысяч рублей сразу же, как взломщик предоставит доказательства того, что вскрытие прошло успешно.

«Я в этом деле уже давно. Порой самый тупой мамонт может сорваться в последний момент. Как только логи пользователя (владельца канала. — Примеч. Daily Storm) залетают на панель стилера — начинаем сделку».

По словам перекупщика, если бы хакер предложил ему купить украденный канал «Базы» (мошенники минимум дважды пытались его украсть за последние несколько месяцев), то максимальная цена покупки составила бы 400-450 тысяч рублей. 

Перекупщики исходят из того, что админка канала может быть восстановлена в течение нескольких дней — если техподдержка Telegram оперативно поможет настоящей администрации ресурса. Когда перекупщик продает украденный канал, он перестает нести за него ответственность. Если техподдержка восстановит «админку», то перекупщик не будет возвращать деньги покупателю.

«Шанс восстановления маленький, но все же он есть. Скупщики берут себе каналы в основном, чтобы посты со ссылками на казино выкладывать, либо «на пассиве» вести канал и бабки получать», — подытоживает собеседник.

Еще до первой массовой волны в феврале 2020 года хакерам удалось получить доступ к каналу «Спорт и сплетни» (контент: спортивные новости, аналитика и инсайды). Сразу же после угона новые владельцы канала постарались отбить часть денег, потраченных на покупку. От имени автора «Спорта и сплетен» они разместили пост о якобы договорном матче («Никогда такого не делал, это будет первый и последний раз»), о результате которого можно было узнать за деньги.

На следующие сутки после угона новые владельцы канала начали действовать более примитивными методами: размещали в «Спорте и сплетнях» рекламу на каналы со ставками, но уже без мимикрии под автора (хотя Telegram-канал позиционируется как анонимный, читатели уверены, что его ведет главный редактор одного из известных спортивных изданий). Тот в свою очередь завел новый канал, где рассказал об угоне. И только через две недели администратор «Спорта и сплетен» сумел вернуть контроль над оригинальным каналом.

Что это за червь такой?

Эксперты компании Group-IB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетную запись «Базы». 

«В атаке использовался довольно примитивный стилер Hunter, который позволяет автоматически собирать учетные записи на зараженном компьютере и отправляет их злоумышленнику. Раньше этот стилер, например, часто использовали для кражи учетных данных у игроков GTA San Andreas Online, рассказывает Daily Storm Илья Померанцев, руководитель группы исследований и разработки CERT-GIB. « Мы проанализировали вредоносный файл, содержащийся в архиве, который злоумышленники прислали Могутину под видом рекламной презентации образовательной платформы. Этот стилер нацелен на устройства под управлением ОС Windows — именно поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал».

В атаках на других владельцев Telegram-каналов (например, канал Дмитрия trCamera Cloud. — Примеч. Daily Storm) злоумышленники отправляли файл «Промо-Видео», внутри которого находился более продвинутый стилер — REDLINE, отметил заместитель руководителя CERT-GIB Ярослав Каргалев. Это семейство «вредоносов» также используется для кражи данных, относящихся к Telegram. А именно — конфигурационных файлов, позволяющих восстановить сессию на другом устройстве. Если у владельца Telegram-канала не включен код-пароль приложения, то злоумышленники смогут восстановить сессию и сменить владельца канала. 

Если на компьютере владельца канала произошло заражение, нет смысла устанавливать код-пароль, считают эксперты Group-IB. Вирус может обладать возможностями клавиатурного шпиона. Специалисты компании советуют администратору оперативно завершить активный сеанс на инфицированном компьютере, а с помощью другого устройства (например, смартфона) сменить облачный пароль в настройках конфиденциальности. Затем сменить облачный пароль и установить код-пароль на других доверенных устройствах.

По информации Daily Storm, подписка на лицензионное использование стилера Hunter стоит 700 рублей в месяц, а стоимость REDLINE может достигать 15 тысяч рублей за PRO-версию и около 10 тысяч за версию Lite. С настройкой таких стилеров может справиться пятиклассник, шутит Илья Померанцев. 

«Если серьезно, то индустрия вредоносного ПО давно ушла вперед, и у большинства стилеров есть очень удобные билдеры — специально приложение для настройки и задания». конфигурации — с красивым и приятным интерфейсом. Есть подробная видеоинструкция, а некоторые даже имеют свою официальную техподдержку», — уточняет Померанцев. 

Эксперты Group-IB считают, что метод атаки, используемый ворами Telegram-каналов, актуален для Windows и Linux. Для IPhone подобный метод не актуален.

«Данные рядового пользователя iOS защищены лучше, чем рядового пользователя Android. Основная причина: невозможность установки софта из стороннего источника. Есть примеры заражения iOS через различные уязвимости, в том числе не в самой iOS, а например в WhatsApp для iOS. Атакуют политиков, журналистов, дипломатов и прочих “нерядовых” граждан. Пример — троян Pegasus от NSO Group. Стоимость таких атак оценивается в десятки миллионов долларов», — объясняет зам руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Первая волна

По словам руководителя пиар-отдела GeekBrains Марии Акимцевой, после сообщений о мошенничестве компания начала превентивно рассылать сообщения владельцам Telegram-каналов. Как рассказала Акимцева Daily Storm, в начале декабря 2020 года их компания получила порядка десяти сообщений от администраторов с информацией о посланиях злоумышленников, мимикрирующих под GeekBrains. 

«Добрый день. Скажите, пожалуйста, сколько будет стоить размещение записи эфира с ТВ с небольшим комментарием на тему IT?», — говорилось в сообщении мошенника, отправленное 10 ноября 2020 года администратору Telegram-канала «Технологии, медиа и общество» Андрею Бродецкому. Затем «угонщик» прислал ссылку на Яндекс.Диск якобы с видеороликом. Бродецкий не стал переходить по ссылке и не потерял доступ к каналу. 

Однако в тот же день мошенники успешно украли Telegram-канал Reddit (236 тысяч подписчиков на момент взлома) и еще один крупный IT-канал (100 тысяч подписчиков на момент взлома). Его владелец попросил Daily Storm не называть его имя и название канала, но отметил, что тогда техподдержка мессенджера помогла ему оперативно: 10 ноября он направил на email-адрес техподдержки (recover@telegram.org) письмо, а на следующий день ему помогли вернуть доступ к каналу.