A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies Ltd  alerta para a nova tendência de ataque entre cibercriminosos no qual o Telegram, o aplicativo de mensagens instantâneas com mais de 500 milhões de usuários ativos no mundo, é utilizado como sistema de controle e comando para disseminar malware pelas empresas. Mesmo nos casos em que o aplicativo não está instalado ou não é utilizado, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente, submetendo os destinatários a sérios riscos.

Nos últimos três meses, a Check Point Research identificou mais de 130 ciberataques utilizando um malware do tipo Remote Access Trojan (RAT) denominado ToxicEye. Um RAT é um tipo de malware que confere ao atacante controle total do sistema de um usuário. O ToxicEye é gerenciado pelo cibercriminoso por meio do Telegram, comunicando-se com o servidor do atacante e extraindo dados para ele. Este RAT é distribuído mediante e-mails de phishing, os quais contêm arquivos executáveis (.exe) maliciosos, que, uma vez abertos, dão início à instalação do ToxicEye no computador da vítima, realizando uma série de explorações sem o conhecimento do usuário.

Perigos do RAT no Telegram

Cada RAT que usa este método tem sua própria funcionalidade. A equipe da CPR foi capaz de identificar uma série de recursos-chave que caracterizam a maioria dos ataques recentes observados:

• Recursos de roubo de dados: o RAT pode localizar e roubar senhas, informações do computador, histórico do navegador e cookies;

• Controle do sistema de arquivos: é capaz de excluir e transferir arquivos ou eliminar processos ou assumir o gerenciador de tarefas do PC;

• Captura de entrada e saída (I/O hijacking): o RAT pode implementar um keylogger, gravar áudio e vídeos do ambiente envolvendo o usuário por meio da câmera e do microfone do computador ou, até mesmo, sequestrar o conteúdo da área de transferência;

• Recursos de Ransomware: capazes de criptografar e descriptografar os arquivos do computador da vítima infectado.

Cadeia de infecção

A CPR definiu a cadeia de infecção do ataque da seguinte forma:

• O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os usuários podem interagir. O atacante primeiro cria uma conta do Telegram e um bot dedicado "Telegram". Uma conta de bot do Telegram é uma conta remota especial pela qual os usuários podem interagir pelo chat ou adicionando-os a grupos do aplicativo, ou ainda enviando solicitações diretamente do campo de entrada digitando o nome de usuário do Telegram do bot e uma consulta.

• O token do bot é fornecido com o malware escolhido.

• O malware é disseminado por meio de campanhas de spam por e-mail como um anexo de e-mail. Um dos exemplos identificados pela CPR continha um arquivo anexado denominado "paypal checker by saint.exe".

• A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infectada com o payload malicioso pode ser atacada por meio do bot do Telegram, que conecta o dispositivo do usuário de volta ao servidor C&C do atacante via Telegram.

• O atacante adquire total controle sobre a vítima e pode executar uma série de atividades maliciosas.