Nos últimos 3 meses, a Check Point Research identificou mais de 130 cibertaques utilizando um tipo de malware controlado através da plataforma de mensagens instantâneas
A Check Point Research, área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, alerta para a nova tendência de ataque entre ciberatacantes na qual o Telegram, a aplicação de mensagens instantâneas com mais de 500 milhões de utilizadores ativos, é utilizado como sistema de controlo e comando para disseminar malware pelas organizações. Mesmo nos casos em que a app não está instalada ou não é utilizada, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente, sujeitando os destinatários a sérios riscos.
Nos últimos três meses, a Check Point Research identificou mais de 130 ciberataques utilizando um Remote Access Trojan (RAT) apelidado de ‘ToxicEye’. Um RAT é um tipo de malware que confere ao atacante controlo total do sistema de um utilizador. O ToxicEye é gerido pelos hackers através do Telegram, comunicando com o servidor do atacante e extraindo dados para lá. Distribui-se através de e-mails de phishing que contêm ficheiros .exe maliciosos que, uma vez abertos, dão início à instalação do malware no computador da vítima e ao desenrolar de uma série de explorações que passam despercebidas.
Perigos do RAT no Telegram
Qualquer RAT utilizando este método tem a sua própria funcionalidade. A CPR identificou, contudo, um número de capacidades-chave que caracterizam a maioria dos ataques observados recentemente:
- Funcionalidades de roubo de dados: o RAT pode localizar e roubar palavras-passe, informações de computador, histórico de navegação e cookies;
- Controlo de ficheiros: é capaz de eliminar e transferir ficheiros, encerrar processos ou assumir o gestor de tarefas do PC;
- I/O hijacking: o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente envolvente do utilizador através da câmara e do microfone do computador ou, até, roubar os conteúdos do clipboard;
- Funcionalidades de Ransomware: consegue encriptar ou desencriptar ficheiros do computador infetado.
Cadeia de infeção
A CPR definiu a cadeia de infeção do ataque da seguinte forma:
- O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os utilizadores podem interagir.
- O token do bot é agrupado com o malware escolhido.
- O malware é disseminado através de campanhas de mail spam e enviado como anexo. Um dos exemplos identificados pela CPR tinha um ficheiro anexado denominado ‘paypal checker by saint.exe’.
- A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infetada com o payload malicioso pode ser atacada através do bot do Telegram, que conecta o dispositivo do utilizador de volta ao servidor C&C do Telegram do atacante.
- O atacante adquire total controlo sobre a vítima e pode executar uma série de atividades maliciosas.
Porquê o Telegram?
A mais recente investigação da Check Point Research revela uma crescente popularidade do malware baseado na aplicação Telegram, o que em muito se deve também à cada vez maior atenção que o serviço de mensagens online tem tido em todo o mundo. Dezenas de novos tipos de malware baseados no Telegram foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub. Os cibercriminosos percecionam o Telegram como uma parte imprescindível dos seus ataques devido a um número de benefícios operacionais:
- O Telegram é um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.
- Mantém o anonimato, já que o processo de registo requer apenas o número de telemóvel.
- As funcionalidades de comunicação únicas do Telegram permitem aos atacantes extrair facilmente dados dos computadores das vítimas ou transferir novos ficheiros maliciosos para dispositivos infetados.
- O Telegram possibilita ainda que os atacantes utilizem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.
“Descobrimos uma tendência crescente em que os autores do malware usam a plataforma do Telegram como um sistema de command & control muito fora da caixa para a distribuição de malware pelas organizações. Este sistema permite que o malware receba futuramente comandos e operações remotamente utilizando o serviço do Telegram, mesmo que a plataforma não esteja instalada ou seja sequer usada,” começa por dizer Idan Sharabi, R&D Group Manager da Check Point Software Technologies. “O malware que os hackers utilizaram neste caso é facilmente encontrado em sítios acessíveis como o GitHub. Acreditamos que os atacantes estão a aproveitar o facto de o Telegram ser utilizado e permitido em quase todas as organizações para implementar ciberataques sem quaisquer restrições de segurança. Dado que o Telegram pode ser utilizado para distribuir ficheiros maliciosos ou como canal de command & control remoto de um malware, é totalmente expectável que, no futuro, sejam desenvolvidas outras ferramentas que se aproveitem desta plataforma,” acrescenta o responsável.
Saiba se está a ser atacado e mantenha-se protegido
- Procure por um ficheiro chamado C:\Users\ToxicEye\rat.exe. Se o encontrar no computador é porque está infetado. Neste caso, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.
- Monitorize o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.
- Esteja atento aos anexos que contêm nomes de utilizador. E-mails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado. Não abra estes anexos, apague os e-mails e não responda ao remetente.
- Tenha cuidado com remetentes anónimos ou desconhecidos. Receber um e-mail de um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail é malicioso ou de phishing.
- Repare sempre na tipo de linguagem utilizado. Invocar um sentido de urgência ou medo é uma tática comum nos ataques de phishing. Os ciberatacantes recorrem muitas vezes a técnicas de engenharia social que procuram tirar proveito da falha humana para atividades ilícitas, como roubo de informações pessoais.
- Implemente uma solução automatizada anti-phishing. Para minimizar os riscos de uma organização ser vítima de um ataque de phishing é necessário contar com um software anti-phishing que, através de Inteligência Artificial, identifique e bloqueie conteúdos maliciosos de todos os serviços de comunicação da empresa (e-mail, aplicações de produtividade, etc.) e plataformas (dispositivos móveis, etc.). Esta cobertura abrangente é imprescindível visto que o conteúdo phishing pode provir de qualquer meio e os colaboradores estão cada vez mais vulneráveis a estas técnicas.
Post A Comment:
0 comments: