Recentemente, foi revelado que um grupo de cibercriminosos, supostamente de origem russa, está utilizando o Telegram como uma plataforma de comando e controle para implantar malware em dispositivos de vítimas. Esta prática foi destacada em um relatório da empresa de segurança na nuvem Netskope. A utilização do Telegram dificulta a detecção das atividades maliciosas, tornando-se um desafio significativo para os especialistas em segurança cibernética.
O malware em questão foi desenvolvido utilizando a linguagem de programação Golang. Após a execução inicial, ele opera como um backdoor, permitindo aos invasores verificar se está sendo executado em um local e nome de arquivo específicos. Caso contrário, ele se cópia para a área designada, garantindo sua persistência no sistema infectado.
Como funciona o malware utilizando o Telegram?
O malware explora uma biblioteca de código aberto que permite a interação com a API do Telegram Bot. Isso possibilita que ele se conecte a um chat controlado pelos cibercriminosos, onde busca novas instruções. Atualmente, o malware a quatro comandos, dos quais três estão implementados. Esses comandos permitem que a ameaça execute instruções via PowerShell, reinicie-se ou se autodestrua, encerrando o processo.
As saídas dessas operações são transmitidas de volta para o chat no aplicativo de mensagens. As instruções, enviadas em russo, sugerem a origem dos responsáveis pela operação. Essa técnica de comando e controle via Telegram representa um método sofisticado de coordenação de atividades maliciosas, dificultando a detecção por parte das soluções de segurança tradicionais.
LeiaTambém
Quais os desafios de segurança enfrentados?
A exploração de plataformas baseadas na nuvem para atividades maliciosas apresenta novos desafios para a segurança cibernética. Essas plataformas, como GitHub, OneDrive e Dropbox, além do Telegram, são fáceis de usar e dificultam o monitoramento das atividades dos cibercriminosos. Um dos principais desafios é diferenciar entre o uso legítimo de uma API e a comunicação de comando e controle (C2) por parte dos invasores.
Leonardo Fróes, pesquisador de segurança da Netskope, destacou a dificuldade em distinguir entre um usuário normal e uma comunicação C2. Essa distinção é crucial para identificar e mitigar ameaças em potencial, especialmente quando os invasores utilizam plataformas amplamente utilizadas para ocultar suas atividades.
Como proteger-se de explorações maliciosas?
Para se proteger contra explorações maliciosas utilizando o Telegram e outras plataformas, é essencial manter um antivírus confiável e atualizado nos dispositivos. Essas ferramentas são capazes de detectar e bloquear ameaças, como os arquivos executáveis compilados em Golang utilizados nesta campanha específica. Além disso, a conscientização sobre práticas seguras de uso de aplicativos e a atualização constante de sistemas operacionais e softwares são medidas fundamentais para mitigar riscos.