Um grupo de cibercriminosos, supostamente com origem na Rússia, está utilizando o Telegram como uma ferramenta de comando e controle (C2) para disseminar malware nos dispositivos de suas vítimas.
Essa informação foi divulgada pela Netskope, uma empresa especializada em soluções de segurança na nuvem, na última sexta-feira (14).
O uso dessa metodologia por parte dos hackers torna mais complexa a tarefa de identificá-los.
O malware, desenvolvido na linguagem de programação Golang, funciona como um backdoor após a sua execução inicial, conforme indicado no estudo apresentado.
Este arquivo malicioso verifica se está sendo executado em um diretório e nome de arquivo pré-determinados, procedendo à sua auto-replicação para o local designado caso não esteja.
Utilizando uma biblioteca de código aberto que facilita a comunicação com a API do Telegram Bot, o malware estabelece conexão com um chat controlado pelos hackers para receber novas ordens.
No momento, ele é capaz de compreender quatro comandos, embora apenas três estejam ativos: possibilitar a execução de comandos via PowerShell, reiniciar-se e autocorrupção, finalizando o processo.
As respostas a essas instruções são transmitidas de volta para o chat no aplicativo de mensagens, com os comandos sendo enviados em russo, o que sugere a nacionalidade dos agentes por trás do ataque.
Com o aumento da utilização de serviços baseados na nuvem para propósitos mal-intencionados, novos desafios de segurança emergem.
Isso se deve à facilidade de uso dessas plataformas, que, por outro lado, complicam o monitoramento de atividades cibercriminosas.
GitHub, OneDrive e Dropbox podem ser usadas de maneira similar ao Telegram para tal fim.
Um dos maiores obstáculos, de acordo com Leonardo Fróes, pesquisador de segurança da Netskope, é distinguir "o que é uma utilização normal de uma API e o que configura uma comunicação C2".
O desafio está em identificar quando o mensageiro está sendo usado para controle de comando.
Para se defender de ações maliciosas via Telegram e outros aplicativos, é crucial manter um antivírus de confiança e com atualizações regulares em seus dispositivos, como aponta a Netskope.
Esse tipo de software é capaz de identificar e interceptar ameaças como os arquivos executáveis compilados em Golang empregados nesta operação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...