Nos últimos três meses, a Check Point
identificou mais de 130 ciberataques utilizando um tipo de malware controlado
por meio desta plataforma de mensagens instantâneas
A Check Point Research (CPR), braço de
Inteligência em Ameaças da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de
cibersegurança global, alerta para a nova tendência de ataque entre
cibercriminosos no qual o Telegram, o aplicativo de mensagens instantâneas com
mais de 500 milhões de usuários ativos no mundo, é utilizado como sistema de
controle e comando para disseminar malware pelas empresas. Mesmo nos casos em
que o aplicativo não está instalado ou não é utilizado, o sistema permite aos
atacantes enviar comandos e operações maliciosos remotamente, submetendo os destinatários
a sérios riscos.
Nos últimos três meses, a Check Point Research
identificou mais de 130 ciberataques utilizando um malware do tipo Remote
Access Trojan (RAT) denominado ToxicEye. Um RAT é um tipo de malware que
confere ao atacante controle total do sistema de um usuário. O ToxicEye é
gerenciado pelo cibercriminoso por meio do Telegram, comunicando-se com o
servidor do atacante e extraindo dados para ele. Este RAT é distribuído
mediante e-mails de phishing, os quais contêm arquivos executáveis (.exe)
maliciosos, que, uma vez abertos, dão início à instalação do ToxicEye no
computador da vítima, realizando uma série de explorações sem o conhecimento do
usuário.
Perigos do RAT no Telegram
Cada RAT que usa este método tem sua própria
funcionalidade. A equipe da CPR foi capaz de identificar uma série de
recursos-chave que caracterizam a maioria dos ataques recentes observados:
• Recursos de roubo de dados: o RAT pode
localizar e roubar senhas, informações do computador, histórico do navegador e
cookies;
• Controle do sistema de arquivos: é capaz de
excluir e transferir arquivos ou eliminar processos ou assumir o gerenciador de
tarefas do PC;
• Captura de entrada e saída (I/O hijacking):
o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente
envolvendo o usuário por meio da câmera e do microfone do computador ou, até
mesmo, sequestrar o conteúdo da área de transferência;
• Recursos de Ransomware: capazes de criptografar
e descriptografar os arquivos do computador da vítima infectado.
Cadeia de infecção
A CPR definiu a cadeia de infecção do ataque da
seguinte forma:
• O atacante começa por criar uma conta de
Telegram e um bot. Um bot de Telegram é uma conta remota com a
qual os usuários podem interagir. O atacante primeiro cria uma conta do
Telegram e um bot dedicado "Telegram". Uma conta de bot do Telegram é
uma conta remota especial pela qual os usuários podem interagir pelo chat ou
adicionando-os a grupos do aplicativo, ou ainda enviando solicitações
diretamente do campo de entrada digitando o nome de usuário do Telegram do bot
e uma consulta.
• O token do bot é fornecido com o malware
escolhido.
• O malware é disseminado por meio de campanhas
de spam por e-mail como um anexo de e-mail. Um dos exemplos identificados pela
CPR continha um arquivo anexado denominado "paypal checker by
saint.exe".
• A vítima abre o anexo malicioso que a conecta
ao Telegram. Qualquer vítima infectada com o payload malicioso pode ser
atacada por meio do bot do Telegram, que conecta o dispositivo do usuário de
volta ao servidor C&C do atacante via Telegram.
• O atacante adquire total controle sobre a vítima e pode executar uma série de
atividades maliciosas.
|
Cadeia de infecção |
A escolha pelo Telegram
A mais recente investigação da Check Point Research
revela uma crescente popularidade do malware baseado no aplicativo Telegram, o
que se deve muito à atenção cada vez maior que o serviço de mensagens online
tem tido em todo o mundo. Dezenas de novos tipos de malware baseados no
Telegram foram encontrados como "armas de reserva" em repositórios de
ferramentas de hacking do GitHub. Os cibercriminosos consideram o
Telegram parte integrante de seus ataques devido a uma série de benefícios
operacionais, como:
• O Telegram é um serviço legítimo, fácil de usar
e estável que não é bloqueado por mecanismos antivírus corporativos, nem por
ferramentas de gerenciamento de rede.
• Mantém o anonimato, já que o processo de
registo requer apenas o número do celular.
• Os recursos de comunicação exclusivos do Telegram
permitem aos atacantes podem facilmente extrair os dados dos computadores das
vítimas ou transferir novos arquivos maliciosos para dispositivos infectados.
• O Telegram também permite que os atacantes usem
seus dispositivos móveis para acessar computadores infectados de quase qualquer
local do mundo.
"Descobrimos uma tendência crescente em que
os autores do malware usam a plataforma do Telegram como um sistema de Command
& Control pronto para uso na distribuição de malware em organizações.
Este sistema permite que o malware receba comandos e operações futuras
remotamente utilizando o serviço do Telegram, mesmo que a plataforma de
mensagem não esteja instalada ou sequer sendo usada", diz Idan Sharabi,
gerente do Grupo de P&D da Check Point Software Technologies.
"O malware que os atacantes utilizaram,
neste caso, é facilmente encontrado em sites acessíveis como o GitHub.
Acreditamos que eles estão aproveitando o fato de o Telegram ser utilizado e
permitido na maioria das organizações para efetuar ciberataques sem quaisquer
restrições de segurança. Dado que o Telegram pode ser utilizado para distribuir
arquivos maliciosos ou como canal de Command & Control remoto de um
malware, é possível que, no futuro, sejam desenvolvidas outras ferramentas que irão
tirar proveito desta plataforma", explica Sharabi.
Dicas de proteção
• Procurar por um arquivo chamado
C:\Users\ToxicEye\rat.exe. Se o arquivo for
localizado é porque o computador está infectado. Neste caso, contatar
imediatamente a equipe de helpdesk e apagar o arquivo do sistema.
• Monitorar o tráfego gerado entre computadores
da sua organização e as contas de Telegram C&C. Se for detectado e se o Telegram não está
instalado como solução corporativa, pode ser indício de que a segurança está
comprometida.
• Estar atento aos anexos que contêm nomes de
usuário. E-mails maliciosos utilizam frequentemente
o username da vítima como assunto ou nome do arquivo anexado. Não abrir
esses anexos, apagar os e-mails e não responder ao remetente.
• Ter cuidado com remetentes anônimos ou
desconhecidos. Receber um e-mail de
um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail
é malicioso ou e-mail de phishing.
• Cuidado com o tom da linguagem da mensagem. As técnicas de engenharia social são projetadas
para tirar proveito da natureza humana. Isso inclui o fato de que as pessoas
são mais propensas a cometer erros quando estão com pressa e tendem a seguir as
ordens de pessoas em posições de autoridade. Os ataques de phishing geralmente
usam essas técnicas para convencer seus alvos a ignorar suas suspeitas em
potencial sobre um e-mail e clicar em um link ou abrir um anexo.
• Implementar uma solução automatizada
antiphishing. Minimizar o risco de
ataques de phishing para a organização requer um software antiphishing baseado
em IA capaz de identificar e bloquear o conteúdo de phishing em todos os
serviços de comunicação da empresa (e-mail, aplicativos de produtividade e
outros) e plataformas (estações de trabalho de funcionários, dispositivos
móveis, entre outros). Essa cobertura abrangente é necessária, pois o conteúdo
de phishing pode vir por qualquer meio e os funcionários podem ficar mais
vulneráveis a ataques ao usar dispositivos móveis.
Check Point Software Technologies Ltd.
https://www.checkpoint.com/pt/
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies