Uma nova investigação da Check Point Research revela que há uma nova tendência de ataque entre cibercriminosos. Nela, o Telegram é utilizado como sistema de controlo e comando para disseminar malware e, mesmo nos casos em que a popular aplicação não está instalada ou não é utilizada, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente.
Em comunicado, a Check Point Research explica que identificou mais de 130 ciberataques que recorriam a um Remote Access Trojan (RAT) chamado ToxicEye. O software malicioso é gerido pelos hackers através do Telegram, comunicando com os seus servidores e enviando todos os dados recolhidos para lá.
O ToxicEye é disseminado através de emails de phishing que contêm ficheiros .exe maliciosos. Uma vez abertos, os ficheiros dão início à instalação do malware no equipamento da vítima e dão origem a uma série de operações que passam despercebidas.
Os especialistas indicam que entre as características dos ataques observados recentemente se destacam funcionalidades de roubo de dados e de ransomware, controlo de ficheiros, e I/O hijacking, isto é, a implementação de um keylogger ou de mecanismos que gravem áudio e vídeo do computador.
Como se processa da cadeia de infeção dos ataques? Os investigadores indicam que os atacantes começam por criar uma conta de Telegram e um bot para a aplicação. De seguida, o token do bot é agrupado com o malware escolhido.
O software malicioso é depois propagado através de campanhas de phishing ou spam, sendo enviado como anexo. Qualquer utilizador infetado com o payload malicioso pode ser atacada através do bot do Telegram, que liga o dispositivo do utilizador de volta ao servidor C&C do atacante, que, depois, conseguirá adquirir um total controlo do equipamento da vítima.
A Check Point Research dá a conhecer que há uma crescente popularidade do malware baseado no Telegram, em parte, devido à atenção que o serviço de mensagens online tem tido um pouco por todo o mundo. Segundo os investigadores, dezenas de novos tipos de malware baseados na aplicação foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub.
Os cibercriminosos veem o Telegram como uma parte imprescindível dos seus ataques, uma vez que se apresenta como um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.
Além de manter o anonimato, as funcionalidades de comunicação do Telegram permitem aos atacantes extrair facilmente dados dos equipamentos das vítimas ou transferir novos ficheiros maliciosos para os dispositivos infetados. Além disso, a aplicação permite que os hackers usem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.
Como saber se foi atacado? O que fazer para reforçar a segurança
Receia que a sua organização foi comprometida por um destes ataques? Os especialistas recomendam que procure no seu computador por esta localização (sem aspas): “C:\Users\ToxicEye\rat.exe”. Se a encontrar, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.
Deve monitorizar o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.
É importante estar atento aos anexos que contêm nomes de utilizador: emails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado.
Assim, não deverá abrir estes anexos. A melhor solução é apagar o email e não responder ao remetente. Receber um email de um remetente não listado ou cujo nome não é revelado pode também indicar que o é malicioso ou de phishing.
Para minimizar os riscos de uma organização ser vítima de um ataque de phishing é necessário contar com um software de proteção que seja capaz de identificar e bloquear conteúdos maliciosos de todos os serviços de comunicação e plataformas da empresa.
Pergunta do Dia
Em destaque
-
Multimédia
The Game Awards: Astro Bot conquistou quatro prémios incluindo Jogo do Ano -
Site do dia
Estamos sozinhos no Universo? Pergunta foi a base do projeto SETI há 40 anos -
App do dia
Task Kitchen: a app que transforma listas de tarefas em agendas eficientes -
How to TEK
Mantenha as apps e jogos Android atualizados para evitar vulnerabilidades
Comentários