TheWindowsClubは10月24日(米国時間)、「Cybercriminals can deploy malware to Windows machines using Telegram」において、メッセージングアプリの「Telegram Messenger」を用いてリモートからWindowsを制御し、さまざまな種類のマルウェアに感染させるサイバー攻撃が観測されたと伝えた。TelegramはWhatsAppに並ぶ人気をほこるクラウドベースのメッセージングアプリ。

このサイバー攻撃について最初に警告を発したのはTwitterユーザーの @3xp0rtblog である。@3xp0rtblog はTwitter上で、ロシアのフォーラムで「T-RAT 2.0」と呼ばれるアプリが販売されていることを報告した。T-RAT 2.0は、Telegram経由でリモートのWindowsマシンを制御することができる便利アプリとして宣伝されているとのこと。

  • T-RAT 2.0について報告した @3xp0rtblog のツイート

    T-RAT 2.0について報告した @3xp0rtblog のツイート

セキュリティベンダーのG-Data 2.0は、このT-RAT 2.0を利用することで、サイバー犯罪者がリモートからWindowsコンピュータにマルウェアをインストールするなどの攻撃を行うことができるようになると指摘している。具体的には、感染の初期段階としてまず対象のWindowsに「ダウンローダー」が導入される。ダウンローダーはリモートから暗号化されたファイルを取得する。この暗号化されたファイルは、sihost.exeという名前のT-RAT実行ファイルと関連するDLLを含むアーカイブで、ダウンローダーは毎日のタスクをスケジュールすることでsihost.exeを永続化するとともに、自分自身を削除することで感染の発見を難しくするという。

T-RAT実行ファイルは、テキストベースのコマンドと、T-RATアプリが提供するコマンドボタンによって、Telegram経由でPCのT-RATを制御することができる。全部で98個のコマンドが用意されており、これによって攻撃者は各種データの取得やキーロガーの実行、プロセスの強制終了、PowerShellやコマンドプロンプトの制御など、Windowsマシンをほぼ完全にコントロールできるようになるという。

具体的な感染の手順や痕跡の発見方法、コマンドの全リストはG-Dataによる次のサイトで解説されている。

マルウェアの提供者は、T-RAT 2.0のように便利な機能をうたってユーザーの興味を引こうとする。利便性につられてサイバーセキュリティに対する意識が疎かにならないように注意したい。