Forcepoint analisa Bots do Telegram

O Forcepoint Security Labs continuamente observa os métodos utilizados pelos agentes de ameaças para contornar as proteções existentes. Uma das investigações revelou o uso do serviço de mensagens criptografadas Telegram como uma infraestrutura de Command and Control (C2) para malware.

O malware que usa o Telegram como um canal C2 normalmente usa a API Telegram Bot para a comunicação. No decorrer de uma investigação sobre um malware, descobrimos uma falha significativa na forma como o Telegram trata as mensagens enviadas através de sua API Bot.

Devido à forma como a API Bot funciona, todas as mensagens passadas do bot podem ser reproduzidas por um adversário que seja capaz de interceptar e descriptografar o tráfego https. Em termos práticos, isso pode fornecer ao adversário o histórico completo de todas as mensagens enviadas ou recebidas pelo bot de destino. Isso muitas vezes inclui mensagens entre usuários regulares, pois os bots frequentemente compartilham um grupo de bate-papo com eles.

O malware em questão é bastante simples, criado em .NET, com o operador apelidado de ‘GoodSender ‘ e que utiliza o Telegram como C2. Ele opera de forma bastante simples: uma vez que o malware é instalado, ele cria um novo usuário administrador e habilita a área de trabalho remota, certificando-se de que o recurso não está bloqueado pelo firewall. O nome de usuário do novo administrador é estático, mas a senha é gerada aleatoriamente.

Todas essas informações (o nome de usuário, a senha e o endereço IP da vítima) são enviadas ao operador através da rede Telegram, proporcionando ao operador acesso ao computador da vítima através do protocolo RDP.

Apesar de ainda não ser encontrada uma resposta definitiva para qual vetor de ataque o agente utilizou para soltar seu malware, indícios indicam que ele usou o exploit EternalBlue para aplicá-lo em máquinas desatualizadas.

• Faz usado pesado do scanner de vulnerabilidades gratuito ‘EternalBlue’.
• Possui uma lista dos IPs varridos nos EUA e Vietnam que eram vulneráveis ao EternalBlue, que ele usou para infectar algumas vítimas.

Com base na telemetria Forcepoint, o GoodSender infectou pelo menos 120 vítimas, a maioria nos EUA.