В пятницу ФБР опубликовало предупреждение: иранские хакеры, действующие от имени Министерства разведки и безопасности (MOIS), используют Telegram как инфраструктуру для кражи данных. На первом этапе они подделывают сообщения от «техподдержки» или знакомых и отправляют жертве ссылку на вредоносный файл, маскирующийся под официальное приложение.
После установки вредоносного ПО устройство автоматически подключается к ботам в Telegram, через которые хакеры управляют компьютером: копируют файлы, делают скриншоты и записывают видеоконференции в Zoom. Такой метод скрывает вредоносный трафик среди легитимных запросов, затрудняя работу антивирусов.
ФБР связывает эти операции с геополитическими целями Ирана. FBI обнаружило связь с группой Handala, ранее приписываемой атаке на Stryker. Министерство юстиции США назвало Handala прикрытием для MOIS, а ФБР отключило несколько сайтов, связанных с группой. Представитель Telegram сообщил, что модераторы платформы удаляют аккаунты, участвующие в распространении вредоносного ПО.