Como o malware RAT está usando o Telegram para evitar a detecção

Telegram é um aplicativo de bate-papo conveniente. Até mesmo os criadores de malware pensam assim! ToxicEye é um programa de malware RAT que pega carona na rede do Telegram, comunicando-se com seus criadores por meio do popular serviço de bate-papo.

Malware que bate papo no Telegram

No início de 2021, muitos usuários deixaram o WhatsApp por aplicativos de mensagens que prometiam melhor segurança de dados após o anúncio da empresa de que compartilharia metadados do usuário com o Facebook por padrão. Muitas dessas pessoas foram para aplicativos concorrentes Telegram e Signal.

O Telegram foi o aplicativo mais baixado, com mais de 63 milhões de instalações em janeiro de 2021, de acordo com a Sensor Tower. Os bate-papos do Telegram não são criptografados de ponta a ponta como os bate-papos do Signal , e agora o Telegram tem outro problema: malware.

A empresa de software Check Point descobriu recentemente que agentes mal-intencionados estão usando o Telegram como um canal de comunicação para um programa de malware chamado ToxicEye. Acontece que alguns dos recursos do Telegram podem ser usados ​​por invasores para se comunicarem com seu malware mais facilmente do que por meio de ferramentas baseadas na web. Agora, eles podem mexer em computadores infectados por meio de um conveniente chatbot do Telegram.

O que é ToxicEye e como funciona?

ToxicEye é um tipo de malware denominado trojan de acesso remoto (RAT) . Os RATs podem fornecer a um invasor o controle de uma máquina infectada remotamente, o que significa que eles podem:

• roubar dados do computador host.
• excluir ou transferir arquivos.
• matar processos em execução no computador infectado.
• sequestrar o microfone e a câmera do computador para gravar áudio e vídeo sem o consentimento ou conhecimento do usuário.
• criptografar arquivos para extorquir um resgate dos usuários.

O ToxicEye RAT é espalhado por meio de um esquema de phishing em que um alvo recebe um e-mail com um arquivo EXE incorporado. Se o usuário-alvo abrir o arquivo, o programa instalará o malware em seu dispositivo.

Os RATs são semelhantes aos programas de acesso remoto que, digamos, alguém do suporte técnico pode usar para assumir o comando do seu computador e corrigir um problema. Mas esses programas entram sorrateiramente sem permissão. Eles podem imitar ou estar ocultos com arquivos legítimos, muitas vezes disfarçados como um documento ou incorporados em um arquivo maior, como um videogame.

Como os invasores estão usando o telegrama para controlar o malware

Já em 2017, os invasores usavam o Telegram para controlar software malicioso à distância. Um exemplo notável disso é o programa Masad Stealer, que esvaziou as carteiras criptográficas das vítimas naquele ano.

O pesquisador da Check Point, Omer Hofman, diz que a empresa encontrou 130 ataques ToxicEye usando esse método de fevereiro a abril de 2021, e há algumas coisas que tornam o Telegram útil para malfeitores que espalham malware.

Por um lado, o Telegram não é bloqueado por software de firewall. Também não é bloqueado por ferramentas de gerenciamento de rede. É um aplicativo fácil de usar que muitas pessoas reconhecem como legítimo e, portanto, baixam a guarda.

O registro no Telegram requer apenas um número de celular, portanto, os invasores podem permanecer anônimos . Também permite que eles ataquem dispositivos de seus dispositivos móveis, o que significa que eles podem lançar um ataque cibernético de qualquer lugar. O anonimato torna a atribuição de ataques a alguém – e detê-los – extremamente difícil.

A Cadeia de Infecção

Veja como funciona a cadeia de infecção do ToxicEye:

1. O invasor primeiro cria uma conta do Telegram e, em seguida, um “bot” do Telegram, que pode realizar ações remotamente por meio do aplicativo.
2. Esse token de bot é inserido no código-fonte malicioso.
3. Esse código malicioso é enviado como spam de e-mail, que muitas vezes é disfarçado como algo legítimo no qual o usuário pode clicar.
4. O anexo é aberto, instalado no computador host e envia informações de volta ao centro de comando do invasor por meio do bot do Telegram.

Como esse RAT é enviado por e-mail de spam, você nem precisa ser um usuário do Telegram para ser infectado.

Ficando seguro

Se você acha que pode ter baixado o ToxicEye, a Check Point aconselha os usuários a verificarem o seguinte arquivo em seu PC: C: \ Users \ ToxicEye \ rat.exe

Se você encontrá-lo em um computador de trabalho, apague o arquivo do sistema e entre em contato com o suporte técnico imediatamente. Se estiver em um dispositivo pessoal, apague o arquivo e execute uma varredura de software antivírus imediatamente.

No momento em que este artigo foi escrito, no final de abril de 2021, esses ataques foram descobertos apenas em PCs com Windows. Se você ainda não instalou um bom programa antivírus , agora é a hora de instalá-lo.

Outros conselhos testados e comprovados para uma boa “higiene digital” também se aplicam, como:

• Não abra anexos de e-mail que pareçam suspeitos e / ou de remetentes desconhecidos.
• Tenha cuidado com os anexos que contêm nomes de usuário. E-mails maliciosos geralmente incluem seu nome de usuário na linha de assunto ou um nome de anexo.
• Se o e-mail estiver tentando parecer urgente, ameaçador ou autoritário e pressioná-lo a clicar em um link / anexo ou fornecer informações confidenciais, provavelmente ele é malicioso.
• Use um software anti-phishing, se puder.

O código do Masad Stealer foi disponibilizado no Github após os ataques de 2017. A Check Point afirma que isso levou ao desenvolvimento de uma série de outros programas maliciosos, incluindo o ToxicEye:

“Desde que Masad se tornou disponível em fóruns de hackers, dezenas de novos tipos de malware que usam o Telegram para [comando e controle] e exploram os recursos do Telegram para atividades maliciosas, foram encontrados como armas ‘prontas para usar’ em repositórios de ferramentas de hacking no GitHub . ”

As empresas que usam o software fariam bem em considerar mudar para outro ou bloqueá-lo em suas redes até que o Telegram implemente uma solução para bloquear esse canal de distribuição.

Nesse ínterim, os usuários individuais devem manter os olhos abertos, estar cientes dos riscos e verificar seus sistemas regularmente para erradicar as ameaças – e talvez considerar alternar para o Signal.