Plataforma do Telegram está a ser utilizada para disseminar Malware

A Check Point está a alertar para a nova tendência de ataque entre ciberatacantes na qual o Telegram, a aplicação de mensagens instantâneas com mais de 500 milhões de utilizadores activos, é utilizado como sistema de controlo e comando para disseminar malware pelas organizações. Mesmo nos casos em que a app não está instalada, ou não é utilizada, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente, sujeitando os destinatários a sérios riscos.

Nos últimos três meses, a Check Point Research identificou mais de 130 ciberataques utilizando um Remote Access Trojan (RAT) apelidado de ‘ToxicEye’. Um RAT é um tipo de malware que confere ao atacante controlo total do sistema de um utilizador. O ToxicEye é gerido pelos hackers através do Telegram, comunicando com o servidor do atacante e extraindo dados para lá. Distribui-se através de e-mails de phishing que contêm ficheiros .exe maliciosos que, uma vez abertos, dão início à instalação do malware no computador da vítima e ao desenrolar de uma série de explorações que passam despercebidas.

Perigos do RAT no Telegram

Qualquer RAT utilizando este método tem a sua própria funcionalidade. A CPR identificou, contudo, um número de capacidades-chave que caracterizam a maioria dos ataques observados recentemente:

• Funcionalidades de roubo de dados: o RAT pode localizar e roubar palavras-passe, informações de computador, histórico de navegação e cookies;
• Controlo de ficheiros: é capaz de eliminar e transferir ficheiros, encerrar processos ou assumir o gestor de tarefas do PC;
• I/O hijacking: o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente envolvente do utilizador através da câmara e do microfone do computador ou, até, roubar os conteúdos do clipboard;
• Funcionalidades de Ransomware: consegue encriptar ou desencriptar ficheiros do computador infetado.

Cadeia de infecção

A CPR definiu a cadeia de infeção do ataque da seguinte forma:

1. O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os utilizadores podem interagir.
2. O token do bot é agrupado com o malware escolhido.
3. O malware é disseminado através de campanhas de mail spam e enviado como anexo. Um dos exemplos identificados pela CPR tinha um ficheiro anexado denominado ‘paypal checker by saint.exe’.
4. A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infetada com o payload malicioso pode ser atacada através do bot do Telegram, que conecta o dispositivo do utilizador de volta ao servidor C&C do Telegram do atacante.
5. O atacante adquire total controlo sobre a vítima e pode executar uma série de atividades maliciosas.

Mas porquê o Telegram para espalhar Malware?

A mais recente investigação da Check Point Research revela uma crescente popularidade do malware baseado na aplicação Telegram, o que em muito se deve também à cada vez maior atenção que o serviço de mensagens online tem tido em todo o mundo. Dezenas de novos tipos de malware baseados no Telegram foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub. Os cibercriminosos percecionam o Telegram como uma parte imprescindível dos seus ataques devido a um número de benefícios operacionais:

• O Telegram é um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.
• Mantém o anonimato, já que o processo de registo requer apenas o número de telemóvel.
• As funcionalidades de comunicação únicas do Telegram permitem aos atacantes extrair facilmente dados dos computadores das vítimas ou transferir novos ficheiros maliciosos para dispositivos infetados.
• O Telegram possibilita ainda que os atacantes utilizem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.

“Descobrimos uma tendência crescente em que os autores do malware usam a plataforma do Telegram como um sistema de command & control muito fora da caixa para a distribuição de malware pelas organizações. Este sistema permite que o malware receba futuramente comandos e operações remotamente utilizando o serviço do Telegram, mesmo que a plataforma não esteja instalada ou seja sequer usada,” começa por dizer Idan Sharabi, R&D Group Manager da Check Point Software Technologies. “O malware que os hackers utilizaram neste caso é facilmente encontrado em sítios acessíveis como o GitHub. Acreditamos que os atacantes estão a aproveitar o facto de o Telegram ser utilizado e permitido em quase todas as organizações para implementar ciberataques sem quaisquer restrições de segurança. Dado que o Telegram pode ser utilizado para distribuir ficheiros maliciosos ou como canal de command & control remoto de um malware, é totalmente expectável que, no futuro, sejam desenvolvidas outras ferramentas que se aproveitem desta plataforma,” acrescenta o responsável.