Một backdoor mới viết bằng Golang đang được phát hiện lợi dụng Telegram để liên lạc với máy chủ điều khiển (C&C), theo báo cáo từ công ty an ninh mạng Netskope.
Dù vẫn đang trong quá trình phát triển, phần mềm độc hại này đã có đầy đủ chức năng. Dựa trên một chuỗi tin nhắn gửi đến máy chủ C&C, nhiều dấu hiệu cho thấy nó có thể được tạo bởi một nhà phát triển người Nga.
Trước khi cài đặt, backdoor kiểm tra xem nó đã chạy trên hệ thống hay chưa. Nếu chưa, nó sẽ sao chép chính mình vào một vị trí xác định, tạo một tiến trình mới để khởi chạy bản sao đó rồi tự thoát. Sau khi thực thi, nó sử dụng Telegram token để tạo bot, liên tục theo dõi một kênh Telegram để nhận lệnh từ kẻ tấn công.
Malware này hỗ trợ bốn lệnh chính: thực thi qua PowerShell, khởi động lại dưới tiến trình svchost.exe, chụp ảnh màn hình (chưa triển khai) và tự hủy. Khi nhận lệnh thực thi qua PowerShell, nó yêu cầu hai tin nhắn: một tin nhắn điều khiển và một tin nhắn chứa lệnh, đồng thời phản hồi bằng câu nhắc bằng tiếng Nga.
Khi được lệnh tự hủy, malware sẽ xóa file svchost.exe trong thư mục Temp, tự thoát và gửi thông báo “Đang thực hiện tự hủy” đến kênh Telegram. Dù chưa hoàn thiện, backdoor này đã cho thấy cách kẻ tấn công có thể tận dụng Telegram như một nền tảng điều khiển từ xa hiệu quả.
