Uma nova investigação da Check Point Research revela que há uma nova tendência de ataque entre cibercriminosos. Nela, o Telegram é utilizado como sistema de controlo e comando para disseminar malware e, mesmo nos casos em que a popular aplicação não está instalada ou não é utilizada, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente.

Em comunicado, a Check Point Research explica que identificou mais de 130 ciberataques que recorriam a um Remote Access Trojan (RAT) chamado ToxicEye. O software malicioso é gerido pelos hackers através do Telegram, comunicando com os seus servidores e enviando todos os dados recolhidos para lá.

O ToxicEye é disseminado através de emails de phishing que contêm ficheiros .exe maliciosos. Uma vez abertos, os ficheiros dão início à instalação do malware no equipamento da vítima e dão origem a uma série de operações que passam despercebidas.

Os especialistas indicam que entre as características dos ataques observados recentemente se destacam funcionalidades de roubo de dados e de ransomware, controlo de ficheiros, e I/O hijacking, isto é, a implementação de um keylogger ou de mecanismos que gravem áudio e vídeo do computador.

Como se processa da cadeia de infeção dos ataques? Os investigadores indicam que os atacantes começam por criar uma conta de Telegram e um bot para a aplicação. De seguida, o token do bot é agrupado com o malware escolhido.

O software malicioso é depois propagado através de campanhas de phishing ou spam, sendo enviado como anexo. Qualquer utilizador infetado com o payload malicioso pode ser atacada através do bot do Telegram, que liga o dispositivo do utilizador de volta ao servidor C&C do atacante, que, depois, conseguirá adquirir um total controlo do equipamento da vítima.

A Check Point Research dá a conhecer que há uma crescente popularidade do malware baseado no Telegram, em parte, devido à atenção que o serviço de mensagens online tem tido um pouco por todo o mundo. Segundo os investigadores, dezenas de novos tipos de malware baseados na aplicação foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub.

Os cibercriminosos veem o Telegram como uma parte imprescindível dos seus ataques, uma vez que se apresenta como um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.

Além de manter o anonimato, as funcionalidades de comunicação do Telegram permitem aos atacantes extrair facilmente dados dos equipamentos das vítimas ou transferir novos ficheiros maliciosos para os dispositivos infetados. Além disso, a aplicação permite que os hackers usem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.

Como saber se foi atacado? O que fazer para reforçar a segurança

Receia que a sua organização foi comprometida por um destes ataques? Os especialistas recomendam que procure no seu computador por esta localização (sem aspas): “C:\Users\ToxicEye\rat.exe”. Se a encontrar, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.

Deve monitorizar o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.

É importante estar atento aos anexos que contêm nomes de utilizador: emails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado.

Assim, não deverá abrir estes anexos. A melhor solução é apagar o email e não responder ao remetente. Receber um email de um remetente não listado ou cujo nome não é revelado pode também indicar que o é malicioso ou de phishing.

Para minimizar os riscos de uma organização ser vítima de um ataque de phishing é necessário contar com um software de proteção que seja capaz de identificar e bloquear conteúdos maliciosos de todos os serviços de comunicação e plataformas da empresa.