Telegram: cuidado com o novo malware a circular na app de mensagens

Rui Bacelar
Comentar

Há uma nova tendência no mundo do cibercrime. Os hackers ou piratas informáticos estão a utilizar a app de mensagens instantâneas Telegram para disseminar malware pelas organizações.

O alerta é dado pelos investigadores da israelita Check Point Research que, nos últimos 3 meses, identificaram mais de 130 ciberataques do “ToxicEye”. Estamos perante um Remote Access Trojan (RAT) gerido através da plataforma Telegram.

ToxicEye é o novo malware a circular na Telegram

Check Point

A agência de ciber segurança delineou as várias fases que compõem a cadeia de infeção. Em primeiro lugar, o contacto que a vítima tem com a atividade maliciosa dá-se via e-mail.

Tudo começa com o envio de campanhas de spam com anexos que, uma vez abertos, conectam o atacante ao dispositivo do utilizador através do Telegram.

A escolha do Telegram como sistema de Command & Control tem que ver, dizem os investigadores, com um número de benefícios operacionais que a aplicação oferece. Destacando-se aqui o anonimato e a legitimidade do serviço. Algo que faz com que não esteja sinalizado pelas soluções de antivírus ou ferramentas de gestão de rede.

Os reais perigos do malware RAT no Telegram

Qualquer RAT utilizando este método tem a sua própria funcionalidade. Há, contudo, um número de capacidades-chave que caracterizam a maioria dos ataques observados recentemente:

  • Funcionalidades de roubo de dados: o RAT pode localizar e roubar palavras-passe, informações de computador, histórico de navegação e cookies;
  • Controlo de ficheiros: é capaz de eliminar e transferir ficheiros, encerrar processos ou assumir o gestor de tarefas do PC;
  • I/O hijacking: o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente envolvente do utilizador através da câmara e do microfone do computador. Pode até, roubar os conteúdos do clipboard (área de transferência);
  • Funcionalidades de Ransomware: consegue encriptar ou desencriptar ficheiros do computador infetado.

Esta é a cadeia de infeção detetada pela CPR

malware

  1. O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os utilizadores podem interagir.
  2. O token do bot é agrupado com o malware escolhido.
  3. O malware é disseminado através de campanhas de mail spam e enviado como anexo. Um dos exemplos identificados pela CPR tinha um ficheiro anexado denominado ‘paypal checker by saint.exe’.
  4. A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infetada com o payload malicioso pode ser atacada através do bot do Telegram, que conecta o dispositivo do utilizador de volta ao servidor C&C do Telegram do atacante.
  5. O atacante adquire total controlo sobre a vítima e pode executar uma série de atividades maliciosas.

A popularidade justificou a escolha do Telegram

Tal como aponta a fonte, a crescente popularidade do malware baseado na aplicação Telegram deve-se também à cada vez maior atenção que o serviço de mensagens online tem tido em todo o mundo. É uma das mais populares alternativas ao WhatsApp.

A agência aponta ainda que dezenas de novos tipos de malware baseados no Telegram foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub.

A escolha desta plataforma deve-se ainda ao facto de os hackers terem no Telegram uma parte imprescindível dos seus ataques devido a um número de benefícios operacionais:

  • O Telegram é um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.
  • Mantém o anonimato, já que o processo de registo requer apenas o número de telemóvel.
  • As funcionalidades de comunicação únicas do Telegram permitem aos atacantes extrair facilmente dados dos computadores das vítimas ou transferir novos ficheiros maliciosos para dispositivos infetados.
  • O Telegram possibilita ainda que os atacantes utilizem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.

5 cuidados de prevenção contra malware no Telegram

1. Procurar por um ficheiro chamado C:\Users\ToxicEye\rat.exe. Se o encontrar no computador é porque está infetado. Neste caso, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.

2. Monitorizar o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.

3. Estar atento aos anexos que contêm nomes de utilizador. E-mails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado. Não abra estes anexos, apague os e-mails e não responda ao remetente.

4. Ter cuidado com remetentes anónimos ou desconhecidos. Receber um e-mail de um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail é malicioso ou de phishing.

5. Atentar sempre na tipo de linguagem utilizado. Invocar um sentido de urgência ou medo é uma tática comum nos ataques de phishing. Os ciberatacantes recorrem muitas vezes a técnicas de engenharia social que procuram tirar proveito da falha humana para atividades ilícitas, como roubo de informações pessoais.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. É na tecnologia que encontrou o seu expoente máximo e na 4gnews a plataforma ideal para a redação e produção de vídeo.