Publicidade

Novo malware usa o Telegram para receber “ordens” dos cibercriminosos

Por| Editado por Claudio Yuge | 23 de Abril de 2021 às 09h15

Link copiado!

Christian Wiediger/Unsplash
Christian Wiediger/Unsplash
Tudo sobre Telegram

A criatividade dos criminosos cibernéticos parece não ter fim. Aproveitando-se da alta na popularidade desse tipo de aplicativo, os meliantes digitais estão usando o Telegram para atacar vítimas e mandar comandos para um novo malware batizado como ToxicEye. As informações são da Check Point, empresa especializada em segurança da informação; segundo os pesquisadores, a técnica é eficiente mesmo se o alvo não usá-lo ou se não tiver o mensageiro instalado em seu dispositivo.

“Descobrimos uma tendência crescente em que os autores do malware usam a plataforma do Telegram como um sistema de comando e controle pronto para uso na distribuição de malware em organizações. Este sistema permite que o malware receba comandos e operações futuras remotamente utilizando o serviço do Telegram, mesmo que a plataforma de mensagem não esteja instalada ou sequer sendo usada”, explica o gerente do grupo de pesquisa & desenvolvimento da Check Point, Idan Sharabi.

O ToxicEye é considerado um trojan de acesso remoto (remote access trojan ou RAT), sendo capaz de obter controle total da máquina infectada — ele é capaz de roubar documentos armazenamentos localmente, extrair dados diversos (incluindo o histórico do navegador), eliminar processos, registrar tudo o que é digitado pelo usuário, criar capturas de tela e até gravar áudio. Como se não fosse suficiente, a carga maliciosa do vírus também pode servir de canal para instalar ransomwares.

Continua após a publicidade

A cadeia de infecção funciona assim: primeiro, o criminoso cria uma conta no Telegram e programa um bot (perfil-robô capaz de atender a comandos externos e realizar ações automatizadas). Em seguida, ele usa o token (arquivo identificador) desse bot no ToxicEye e distribui o trojan através de campanhas de e-mails falsos (phishing), escondendo-o como arquivos em anexo. Uma vez que a vítima abra o documento infectado, o computador é conectado ao bot, que serve como intermediário para os comandos remotos.

"Acreditamos que eles estão aproveitando o fato de o Telegram ser utilizado e permitido na maioria das organizações para efetuar ciberataques sem quaisquer restrições de segurança. Dado que o Telegram pode ser utilizado para distribuir arquivos maliciosos ou como canal de comando e controle remoto de um malware, é possível que, no futuro, sejam desenvolvidas outras ferramentas que irão tirar proveito desta plataforma”, finaliza Sharabi.

A companhia dá algumas dicas de como se proteger: além dos cuidados básicos com phishing e anexos de remetentes desconhecidos, é essencial monitorar o tráfego de dados entre os computadores da empresa e contas do Telegram, o que pode indicar que o ToxicEye está ativo. Outra forma de identificar o malware é procurar pelo arquivo C:UsersToxicEyerat.exe, que deve ser removido imediatamente caso exista.

Continua após a publicidade

Fonte: Check Point