Categories: Tecnologia

Como o malware RAT está usando o Telegram para evitar a detecção

DANIEL CONSTANTE / Shutterstock.com

Telegram é um aplicativo de bate-papo conveniente. Até mesmo os criadores de malware pensam assim! ToxicEye é um programa de malware RAT que pega carona na rede do Telegram, comunicando-se com seus criadores por meio do popular serviço de bate-papo.

Malware que bate papo no Telegram

No início de 2021, muitos usuários deixaram o WhatsApp por aplicativos de mensagens que prometiam melhor segurança de dados após o anúncio da empresa de que compartilharia metadados do usuário com o Facebook por padrão. Muitas dessas pessoas foram para aplicativos concorrentes Telegram e Signal.

O Telegram foi o aplicativo mais baixado, com mais de 63 milhões de instalações em janeiro de 2021, de acordo com a Sensor Tower. Os bate-papos do Telegram não são criptografados de ponta a ponta como os bate-papos do Signal , e agora o Telegram tem outro problema: malware.

A empresa de software Check Point descobriu recentemente que agentes mal-intencionados estão usando o Telegram como um canal de comunicação para um programa de malware chamado ToxicEye. Acontece que alguns dos recursos do Telegram podem ser usados ​​por invasores para se comunicarem com seu malware mais facilmente do que por meio de ferramentas baseadas na web. Agora, eles podem mexer em computadores infectados por meio de um conveniente chatbot do Telegram.

O que é ToxicEye e como funciona?

ToxicEye é um tipo de malware denominado trojan de acesso remoto (RAT) . Os RATs podem fornecer a um invasor o controle de uma máquina infectada remotamente, o que significa que eles podem:

  • roubar dados do computador host.
  • excluir ou transferir arquivos.
  • matar processos em execução no computador infectado.
  • sequestrar o microfone e a câmera do computador para gravar áudio e vídeo sem o consentimento ou conhecimento do usuário.
  • criptografar arquivos para extorquir um resgate dos usuários.

O ToxicEye RAT é espalhado por meio de um esquema de phishing em que um alvo recebe um e-mail com um arquivo EXE incorporado. Se o usuário-alvo abrir o arquivo, o programa instalará o malware em seu dispositivo.

Os RATs são semelhantes aos programas de acesso remoto que, digamos, alguém do suporte técnico pode usar para assumir o comando do seu computador e corrigir um problema. Mas esses programas entram sorrateiramente sem permissão. Eles podem imitar ou estar ocultos com arquivos legítimos, muitas vezes disfarçados como um documento ou incorporados em um arquivo maior, como um videogame.

Como os invasores estão usando o telegrama para controlar o malware

Já em 2017, os invasores usavam o Telegram para controlar software malicioso à distância. Um exemplo notável disso é o programa Masad Stealer, que esvaziou as carteiras criptográficas das vítimas naquele ano.

O pesquisador da Check Point, Omer Hofman, diz que a empresa encontrou 130 ataques ToxicEye usando esse método de fevereiro a abril de 2021, e há algumas coisas que tornam o Telegram útil para malfeitores que espalham malware.

Por um lado, o Telegram não é bloqueado por software de firewall. Também não é bloqueado por ferramentas de gerenciamento de rede. É um aplicativo fácil de usar que muitas pessoas reconhecem como legítimo e, portanto, baixam a guarda.

O registro no Telegram requer apenas um número de celular, portanto, os invasores podem permanecer anônimos . Também permite que eles ataquem dispositivos de seus dispositivos móveis, o que significa que eles podem lançar um ataque cibernético de qualquer lugar. O anonimato torna a atribuição de ataques a alguém – e detê-los – extremamente difícil.

A Cadeia de Infecção

Veja como funciona a cadeia de infecção do ToxicEye:

  1. O invasor primeiro cria uma conta do Telegram e, em seguida, um “bot” do Telegram, que pode realizar ações remotamente por meio do aplicativo.
  2. Esse token de bot é inserido no código-fonte malicioso.
  3. Esse código malicioso é enviado como spam de e-mail, que muitas vezes é disfarçado como algo legítimo no qual o usuário pode clicar.
  4. O anexo é aberto, instalado no computador host e envia informações de volta ao centro de comando do invasor por meio do bot do Telegram.

Como esse RAT é enviado por e-mail de spam, você nem precisa ser um usuário do Telegram para ser infectado.

Ficando seguro

Se você acha que pode ter baixado o ToxicEye, a Check Point aconselha os usuários a verificarem o seguinte arquivo em seu PC: C: \ Users \ ToxicEye \ rat.exe

Se você encontrá-lo em um computador de trabalho, apague o arquivo do sistema e entre em contato com o suporte técnico imediatamente. Se estiver em um dispositivo pessoal, apague o arquivo e execute uma varredura de software antivírus imediatamente.

No momento em que este artigo foi escrito, no final de abril de 2021, esses ataques foram descobertos apenas em PCs com Windows. Se você ainda não instalou um bom programa antivírus , agora é a hora de instalá-lo.

Outros conselhos testados e comprovados para uma boa “higiene digital” também se aplicam, como:

  • Não abra anexos de e-mail que pareçam suspeitos e / ou de remetentes desconhecidos.
  • Tenha cuidado com os anexos que contêm nomes de usuário. E-mails maliciosos geralmente incluem seu nome de usuário na linha de assunto ou um nome de anexo.
  • Se o e-mail estiver tentando parecer urgente, ameaçador ou autoritário e pressioná-lo a clicar em um link / anexo ou fornecer informações confidenciais, provavelmente ele é malicioso.
  • Use um software anti-phishing, se puder.

O código do Masad Stealer foi disponibilizado no Github após os ataques de 2017. A Check Point afirma que isso levou ao desenvolvimento de uma série de outros programas maliciosos, incluindo o ToxicEye:

“Desde que Masad se tornou disponível em fóruns de hackers, dezenas de novos tipos de malware que usam o Telegram para [comando e controle] e exploram os recursos do Telegram para atividades maliciosas, foram encontrados como armas ‘prontas para usar’ em repositórios de ferramentas de hacking no GitHub . ”

As empresas que usam o software fariam bem em considerar mudar para outro ou bloqueá-lo em suas redes até que o Telegram implemente uma solução para bloquear esse canal de distribuição.

Nesse ínterim, os usuários individuais devem manter os olhos abertos, estar cientes dos riscos e verificar seus sistemas regularmente para erradicar as ameaças – e talvez considerar alternar para o Signal.

maisroot

Recent Posts

O novo aplicativo “PC Manager” da Microsoft se parece muito com o CCleaner

Muitos aplicativos de limpeza estão disponíveis para Windows ao longo dos anos, mas hoje em…

1 ano ago

Como reiniciar um PS4

Seu PlayStation 4 está congelado? Seus jogos favoritos continuam travando? Reiniciar seu PS4 pode resolver…

1 ano ago

Veja por que as reticências são tão assustadoras ao enviar mensagens de texto…

A popularidade das mensagens de texto significou aprender uma forma totalmente nova de comunicação. Você…

1 ano ago

O telescópio James Webb acaba de capturar os “Pilares da Criação”

A foto dos "Pilares da Criação" tirada pelo Telescópio Espacial Hubble é uma das fotos…

1 ano ago

Você poderá baixar o Proton Drive mais cedo do que pensa

O Proton Drive saiu de seu estágio beta há algumas semanas, mas o aplicativo real…

1 ano ago

Como aumentar o zoom no Photoshop

Para ver suas fotos mais de perto ou para uma edição precisa , você pode…

1 ano ago