นักวิจัยด้านความปลอดภัยจาก Netskope Threat Labs พบมัลแวร์แบ็กดอร์ตัวใหม่ที่พัฒนาด้วยภาษา Golang โดยใช้ Telegram Bot API เป็นช่องทางสื่อสารระหว่างผู้โจมตีกับมัลแวร์ ซึ่งช่วยให้สามารถรับคำสั่งและส่งข้อมูลกลับไปยังแชทบน Telegram ได้ง่ายขึ้น นักวิจัยคาดว่ามัลแวร์นี้อาจมีต้นกำเนิดจากรัสเซีย เนื่องจากพบว่าข้อความบางส่วนในโค้ดใช้ภาษารัสเซีย
มัลแวร์จะตรวจสอบว่าทำงานอยู่ในตำแหน่ง “C:\Windows\Temp\svchost.exe” หรือไม่ หากไม่พบจะคัดลอกตัวเองไปยังตำแหน่งดังกล่าวและรันไฟล์ใหม่เพื่อหลบเลี่ยงการตรวจจับ ซึ่งรองรับคำสั่ง 4 รายการ ได้แก่ การรันคำสั่งผ่าน PowerShell (/cmd), การสร้างกระบวนการทำงานซ้ำ (/persist), การจับภาพหน้าจอ (ยังไม่สามารถใช้งานได้) และคำสั่งทำลายตัวเอง (/selfdestruct) ซึ่งจะลบไฟล์และหยุดทำงาน
นักวิจัยเตือนว่าผู้โจมตีเลือกใช้แพลตฟอร์มคลาวด์อย่าง Telegram เนื่องจากตั้งค่าและใช้งานได้ง่าย ทำให้สามารถหลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยองค์กรได้ดีขึ้น เพื่อป้องกันภัยคุกคามนี้ องค์กรควรเฝ้าระวังพฤติกรรมที่ผิดปกติของระบบ ตรวจสอบการเชื่อมต่อกับเซิร์ฟเวอร์ที่ต้องสงสัย และบังคับใช้นโยบายความปลอดภัยที่เข้มงวดขึ้น
#TelegramBotAPI #Malware
ที่มา : https://www.thaicert.or.th/2025/02/18/%e0%b8%9e%e0%b8%9a%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c%e0%b9%81%e0%b8%9a%e0%b9%87%e0%b8%81%e0%b8%94%e0%b8%ad%e0%b8%a3%e0%b9%8c%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88-%e0%b9%83/
