Mercados do Telegram alimentam ataques de phishing com kits fáceis de usar e malware
1 de Fevereiro de 2024

Pesquisadores de cibersegurança estão alertando para a "democratização" do ecossistema de phishing devido ao surgimento do Telegram como um epicentro de cibercrime, permitindo que criminosos virtuais realizem um ataque em massa por apenas $230.

"Este aplicativo de mensagens se transformou em um centro movimentado onde cibercriminosos experientes e novatos trocam ferramentas e insights ilícitos, criando uma cadeia de suprimentos obscura e bem lubrificada de ferramentas e dados das vítimas", disseram os pesquisadores de Guardio Labs, Oleg Zaytsev e Nati Tal, em um novo relatório.

"Amostras grátis, tutoriais, kits, até hackers para alugar – tudo o necessário para construir uma campanha maliciosa de ponta a ponta."

A empresa também descreveu o Telegram como um "paraíso de golpistas" e um "terreno fértil para operações modernas de phishing".

Esta não é a primeira vez que a popular plataforma de mensagens é alvo de atividades maliciosas, em parte impulsionadas pelos seus esforços de moderação lenientes.

Como resultado, o que costumava estar disponível apenas em fóruns somente para convidados na dark web agora é facilmente acessível por meio de canais públicos e grupos, abrindo as portas do cibercrime para criminosos cibernéticos aspirantes e inexperientes.

Em abril de 2023, a Kaspersky revelou como os pescadores de dados criam canais no Telegram para educar novatos sobre phishing, bem como anunciar bots que podem automatizar o processo de criação de páginas de phishing para coletar informações sensíveis, como credenciais de login.

Um desses bots maliciosos do Telegram é o Telekopye (também conhecido como Classiscam), que pode criar páginas da web fraudulentas, emails, mensagens de SMS para ajudar os criminosos virtuais a realizar grandes golpes de phishing.

Guardio disse que os blocos de construção para construir uma campanha de phishing podem ser facilmente comprados no Telegram – "alguns oferecidos a preços muito baixos, e alguns até de graça" – tornando possível configurar páginas de golpes através de um kit de phishing, hospedar a página em um site WordPress comprometido via web shell e usar um remetente de e-mail de backdoor para enviar as mensagens de e-mail.

Os remetentes de e-mail de backdoor, comercializados em vários grupos do Telegram, são scripts PHP injetados em sites já infectados mas legítimos para enviar emails convincentes usando o domínio legítimo do site explorado para contornar os filtros de spam.

"Esta situação ressalta uma responsabilidade dupla para os proprietários de sites", disseram os pesquisadores.

"Eles devem proteger não apenas seus interesses comerciais, mas também proteger contra suas plataformas serem usadas por golpistas para hospedagem de operações de phishing, envio de e-mails enganosos e realização de outras atividades ilícitas, tudo sem que eles saibam."

Para aumentar ainda mais a probabilidade de sucesso dessas campanhas, mercados digitais no Telegram também fornecem o que é conhecido como "cartas", que são "modelos de marca projetados por especialistas" que fazem as mensagens de e-mail parecerem tão autênticas quanto possível para enganar as vítimas a clicar no link falso que aponta para a página de golpe.

O Telegram também hospeda grandes conjuntos de dados contendo endereços de e-mail válidos e relevantes e números de telefone para serem alvo.

Chamados de "leads", eles às vezes são "enriquecidos" com informações pessoais, como nomes e endereços físicos, para maximizar o impacto.

"Esses leads podem ser incrivelmente específicos, adaptados para qualquer região, nicho, demográfico, clientes de empresas específicas e muito mais", disseram os pesquisadores.

"Cada pedaço de informação pessoal adiciona à eficácia e credibilidade desses ataques."

A maneira como essas listas de leads são preparadas pode variar de vendedor para vendedor.

Eles podem ser obtidos a partir de fóruns de cibercrime que vendem dados roubados de empresas violadas ou através de sites suspeitos que incentivam os visitantes a preencher uma pesquisa falsa para ganhar prêmios.

Um outro componente crucial dessas campanhas de phishing é um meio para monetizar as credenciais roubadas coletadas vendendo-as para outros grupos criminosos na forma de "logs", dando aos criminosos virtuais um retorno dez vezes maior em seu investimento com base no número de vítimas que acabam fornecendo detalhes válidos na página do golpe.

"As credenciais de contas de mídia social são vendidas por apenas um dólar, enquanto as contas bancárias e cartões de crédito podem ser vendidos por centenas de dólares – dependendo de sua validade e fundos", disseram os pesquisadores.

"Infelizmente, com apenas um pequeno investimento, qualquer pessoa pode iniciar uma grande operação de phishing, independentemente do conhecimento prévio ou conexões no submundo criminal."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...