Telegram é a nova ferramenta do cibercrime para distribuir malware remotamente

A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies, alerta para a nova tendência de ataque entre cibercriminosos no qual o Telegram, aplicativo de mensagens instantâneas com mais de 500 milhões de usuários ativos no mundo, é utilizado como sistema de controle e comando para disseminar malware pelas empresas. Mesmo nos casos em que o aplicativo não está instalado ou não é utilizado, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente, submetendo os destinatários a sérios riscos.

Nos últimos três meses, a CPR identificou mais de 130 ciberataques utilizando um malware do tipo Remote Access Trojan (RAT) denominado ToxicEye. Um RAT é um tipo de malware que confere ao atacante controle total do sistema de um usuário. O ToxicEye é gerenciado pelo cibercriminoso por meio do Telegram, comunicando-se com o servidor do atacante e extraindo dados para ele. Este RAT é distribuído mediante e-mails de phishing, os quais contêm arquivos executáveis (.exe) maliciosos que, uma vez abertos, dão início à instalação do ToxicEye no computador da vítima, realizando uma série de explorações sem o conhecimento do usuário.

Cada RAT que usa este método tem sua própria funcionalidade. A equipe da CPR identificou uma série de recursos-chave que caracterizam a maioria dos ataques recentes observados:

• Recursos de roubo de dados: o RAT pode localizar e roubar senhas, informações do computador, histórico do navegador e cookies;
• Controle do sistema de arquivos: é capaz de excluir e transferir arquivos ou eliminar processos ou assumir o gerenciador de tarefas do PC;
• Captura de entrada e saída (I/O hijacking): o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente envolvendo o usuário por meio da câmera e do microfone do computador ou, até mesmo, sequestrar o conteúdo da área de transferência;
• Recursos de Ransomware: capacidade de criptografar e descriptografar os arquivos do computador da vítima infectado.

Cadeia de infecção

A CPR definiu a cadeia de infecção do ataque da seguinte forma:

1. O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os usuários podem interagir. O atacante primeiro cria uma conta do Telegram e um bot dedicado “Telegram”. Uma conta de bot do Telegram é uma conta remota especial pela qual os usuários podem interagir pelo chat ou adicionando-os a grupos do aplicativo, ou ainda enviando solicitações diretamente do campo de entrada digitando o nome de usuário do Telegram do bot e uma consulta.
2. O token do bot é fornecido com o malware escolhido.
3. O malware é disseminado por meio de campanhas de spam por e-mail como um anexo de e-mail. Um dos exemplos identificados pela CPR continha um arquivo anexado denominado “paypal checker by saint.exe”.
4. A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infectada com o payload malicioso pode ser atacada por meio do bot do Telegram, que conecta o dispositivo do usuário de volta ao servidor C&C do atacante via Telegram.
5. O atacante adquire total controle sobre a vítima e pode executar uma série de atividades maliciosas.

Escolha pelo Telegram

A mais recente investigação da Check Point Research revela uma crescente popularidade do malware baseado no aplicativo Telegram, o que se deve muito à atenção cada vez maior que o serviço de mensagens online tem tido em todo o mundo. Dezenas de novos tipos de malware baseados no Telegram foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub. Os cibercriminosos consideram o Telegram parte integrante de seus ataques devido a uma série de benefícios operacionais, como:

• O Telegram é um serviço legítimo, fácil de usar e estável que não é bloqueado por mecanismos antivírus corporativos, nem por ferramentas de gerenciamento de rede.
• Mantém o anonimato, já que o processo de registo requer apenas o número do celular.
• Os recursos de comunicação exclusivos do Telegram permitem aos atacantes podem facilmente extrair os dados dos computadores das vítimas ou transferir novos arquivos maliciosos para dispositivos infectados.
• O Telegram também permite que os atacantes usem seus dispositivos móveis para acessar computadores infectados de quase qualquer local do mundo.

“Descobrimos uma tendência crescente em que os autores do malware usam a plataforma do Telegram como um sistema de Command & Control pronto para uso na distribuição de malware em organizações. Este sistema permite que o malware receba comandos e operações futuras remotamente utilizando o serviço do Telegram, mesmo que a plataforma de mensagem não esteja instalada ou sequer sendo usada”, diz Idan Sharabi, gerente do Grupo de P&D da Check Point Software Technologies.

Dicas de proteção

1. Procure por um arquivo chamado C:UsersToxicEyerat.exe. Se o arquivo for localizado é porque o computador está infectado. Neste caso, contatar imediatamente a equipe de helpdesk e apagar o arquivo do sistema.
2. Monitore o tráfego gerado entre computadores da sua organização e as contas de Telegram C&C. Se for detectado e se o Telegram não está instalado como solução corporativa, pode ser indício de que a segurança está comprometida.
3. Fique atento aos anexos que contêm nomes de usuário. E-mails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do arquivo anexado. Não abrir esses anexos, apagar os e-mails e não responder ao remetente.
4. Tenha cuidado com remetentes anônimos ou desconhecidos. Receber um e-mail de um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail é malicioso ou e-mail de phishing.
5. Cuidado com o tom da linguagem da mensagem. As técnicas de engenharia social são projetadas para tirar proveito da natureza humana. Isso inclui o fato de que as pessoas são mais propensas a cometer erros quando estão com pressa e tendem a seguir as ordens de pessoas em posições de autoridade. Os ataques de phishing geralmente usam essas técnicas para convencer seus alvos a ignorar suas suspeitas em potencial sobre um e-mail e clicar em um link ou abrir um anexo.
6. Implemente uma solução automatizada antiphishing. Minimizar o risco de ataques de phishing para a organização requer um software antiphishing baseado em IA capaz de identificar e bloquear o conteúdo de phishing em todos os serviços de comunicação da empresa (e-mail, aplicativos de produtividade e outros) e plataformas (estações de trabalho de funcionários, dispositivos móveis, entre outros). Essa cobertura abrangente é necessária, pois o conteúdo de phishing pode vir por qualquer meio e os funcionários podem ficar mais vulneráveis a ataques ao usar dispositivos móveis.