O Telegram, a aplicação de mensagens instantâneas com mais de 500 milhões de utilizadores ativos, está a ser utilizado como sistema de controlo e comando para disseminar malware pelas organizações, alerta a empresa de cibersegurança Check Point, que refere ser uma nova tendência de ciberataques.
A Check Point indica que mesmo nos casos em que a app não está instalada ou não é utilizada, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente, sujeitando os destinatários a sérios riscos.
Nos últimos três meses, os investigadores da Check Point Research identificaram mais de 130 ciberataques utilizando um Remote Access Trojan (RAT) apelidado de ‘ToxicEye’. Um RAT é um tipo de malware que confere ao atacante controlo total do sistema de um utilizador. O ToxicEye é gerido pelos hackers através do Telegram, comunicando com o servidor do atacante e extraindo para aí dados.
É distribuído através de e-mails de phishing que contêm ficheiros.exe maliciosos que, uma vez abertos, dão início à instalação do malware no computador da vítima e ao desenrolar de uma série de explorações que passam despercebidas.
Perigos do RAT no Telegram
Qualquer RAT utilizando este método tem a sua própria funcionalidade. Os investigadores da Check Point Research identificaram, contudo, um número de capacidades-chave que caracterizam a maioria dos ataques observados recentemente:
■ Funcionalidades de roubo de dados: o RAT pode localizar e roubar palavras-passe, informações de computador, histórico de navegação e cookies;
■ Controlo de ficheiros: é capaz de eliminar e transferir ficheiros, encerrar processos ou assumir o gestor de tarefas do PC;
■ I/O hijacking: o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente envolvente do utilizador através da câmara e do microfone do computador ou, até, roubar os conteúdos do clipboard;
■ Funcionalidades de Ransomware: consegue encriptar ou desencriptar ficheiros do computador infetado.
Cadeia de infeção
A Check Point Research definiu a cadeia de infeção do ataque da seguinte forma:
1.O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os utilizadores podem interagir.
2.O token do bot é agrupado com o malware escolhido.
3.O malware é disseminado através de campanhas de mail spam e enviado como anexo. Um dos exemplos identificados pela CPR tinha um ficheiro anexado denominado ‘paypal checker by saint.exe’.
4.A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infetada com o payload malicioso pode ser atacada através do bot do Telegram, que conecta o dispositivo do utilizador de volta ao servidor C&C do Telegram do atacante.
5.O atacante adquire total controlo sobre a vítima e pode executar uma série de atividades maliciosas.
Porquê o Telegram?
A mais recente investigação da Check Point Research revela uma crescente popularidade do malware baseado na aplicação Telegram, o que em muito se deve também à cada vez maior atenção que o serviço de mensagens online tem tido em todo o mundo. Dezenas de novos tipos de malware baseados no Telegram foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub. Os cibercriminosos percecionam o Telegram como uma parte imprescindível dos seus ataques devido a um número de benefícios operacionais:
■ O Telegram é um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.
■ Mantém o anonimato, já que o processo de registo requer apenas o número de telemóvel.
■ As funcionalidades de comunicação únicas do Telegram permitem aos atacantes extrair facilmente dados dos computadores das vítimas ou transferir novos ficheiros maliciosos para dispositivos infetados.
■ Telegram possibilita ainda que os atacantes utilizem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.
“Descobrimos uma tendência crescente em que os autores do malware usam a plataforma do Telegram como um sistema de command & control muito fora da caixa para a distribuição de malware pelas organizações. Este sistema permite que o malware receba futuramente comandos e operações remotamente utilizando o serviço do Telegram, mesmo que a plataforma não esteja instalada ou seja sequer usada,” refere Idan Sharabi, R&D Group Manager da Check Point Software Technologies.
O especialista acrescenta: “O malware que os hackers utilizaram neste caso é facilmente encontrado em sítios acessíveis como o GitHub. Acreditamos que os atacantes estão a aproveitar o facto de o Telegram ser utilizado e permitido em quase todas as organizações para implementar ciberataques sem quaisquer restrições de segurança. Dado que o Telegram pode ser utilizado para distribuir ficheiros maliciosos ou como canal de command & control remoto de um malware, é totalmente expectável que, no futuro, sejam desenvolvidas outras ferramentas que se aproveitem desta plataforma”.
Saiba se está a ser atacado e mantenha-se protegido
1.Procure por um ficheiro chamado C:\Users\ToxicEye\rat.exe. Se o encontrar no computador é porque está infetado. Neste caso, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.
2.Monitorize o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.
3.Esteja atento aos anexos que contêm nomes de utilizador. E-mails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado. Não abra estes anexos, apague os e-mails e não responda ao remetente.
4.Tenha cuidado com remetentes anónimos ou desconhecidos. Receber um e-mail de um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail é malicioso ou de phishing.
5.Repare sempre no tipo de linguagem utilizado. Invocar um sentido de urgência ou medo é uma tática comum nos ataques de phishing. Os ciberatacantes recorrem muitas vezes a técnicas de engenharia social que procuram tirar proveito da falha humana para atividades ilícitas, como roubo de informações pessoais.
6.Implemente uma solução automatizada antiphishing. Para minimizar os riscos de uma organização ser vítima de um ataque de phishing é necessário contar com um software antiphishing que, através de Inteligência Artificial, identifique e bloqueie conteúdos maliciosos de todos os serviços de comunicação da empresa (e-mail, aplicações de produtividade, etc.) e plataformas (dispositivos móveis, etc.). Esta cobertura abrangente é imprescindível visto que o conteúdo phishing pode provir de qualquer meio e os colaboradores estão cada vez mais vulneráveis a estas técnicas.