Como o malware RAT está usando o Telegram para evitar a detecção

DANIEL CONSTANTE / Shutterstock. com

O Telegram é um aplicativo de bate-papo conveniente. Até mesmo os criadores de malware pensam assim! ToxicEye é um programa de malware RAT que pega carona na rede do Telegram, comunicando-se com seus criadores por meio do popular serviço de chat.

Malware que bate papo no Telegram

RELATEDSignal vs. Telegram: Qual é o melhor aplicativo de bate-papo? No início de 2021, muitos usuários deixaram o WhatsApp por aplicativos de mensagens que prometiam melhor segurança de dados depois o anúncio da empresa de que compartilharia metadados do usuário com o Facebook por padrão. Muitas dessas pessoas foram para aplicativos concorrentes Telegram e Signal.

O Telegram foi o aplicativo mais baixado, com mais de 63 milhões de instalações em janeiro de 2021, de acordo com a Sensor Tower. Os bate-papos do Telegram não são criptografados de ponta a ponta como os bate-papos do Signal e, agora, o Telegram tem outro problema: malware.

A empresa de software Check Point descobriu recentemente que criminosos estão usando o Telegram como um canal de comunicação para um programa de malware chamado ToxicEye. Acontece que alguns dos recursos do Telegram podem ser usados ​​por invasores para se comunicarem com seu malware mais facilmente do que por meio de ferramentas baseadas na web. Agora, eles podem mexer em computadores infectados por meio de um conveniente chatbot do Telegram.

O que é ToxicEye e como funciona?

RELACIONADOO que é malware RAT e por que é tão perigoso? ToxicEye é um tipo de malware denominado trojan de acesso remoto (RAT). Os RATs podem fornecer a um invasor o controle de uma máquina infectada remotamente, o que significa que eles podem:

• roubar dados do computador host.
• excluir ou transferir arquivos.
• processos de eliminação em execução no computador infectado.
• sequestrar o microfone e a câmera do computador para gravar áudio e vídeo sem o consentimento ou conhecimento do usuário .
• criptografar arquivos para extorquir um resgate dos usuários.

O ToxicEye RAT é espalhado por meio de um esquema de phishing em que um alvo recebe um e-mail com um arquivo EXE incorporado. Se o usuário-alvo abrir o arquivo, o programa instalará o malware em seu dispositivo.

Os RATs são semelhantes aos programas de acesso remoto que, digamos, alguém do suporte técnico pode usar para assumir o comando do seu computador e corrigir um problema. Mas esses programas entram sorrateiramente sem permissão. Eles podem imitar ou estar ocultos com arquivos legítimos, muitas vezes disfarçados como um documento ou incorporados em um arquivo maior, como um videogame.

Como os invasores estão usando o telegrama para controlar o malware

Já em 2017, os invasores usavam o Telegram para controlar software malicioso à distância. Um exemplo notável disso é o programa Masad Stealer, que esvaziava as vítimas &’ carteiras criptográficas naquele ano.

O pesquisador da Check Point, Omer Hofman, diz que a empresa encontrou 130 ataques ToxicEye usando esse método de fevereiro a abril de 2021, e há algumas coisas que tornam o Telegram útil para malfeitores que espalham malware.

Por um lado, o Telegram não é bloqueado por software de firewall. Também não é bloqueado por ferramentas de gerenciamento de rede. É um aplicativo fácil de usar que muitas pessoas reconhecem como legítimo e, portanto, baixam a guarda.

RELACIONADOComo se inscrever no sinal ou telegrama de forma anônima O registro no Telegram requer apenas um número de celular, para que os invasores possam permanecer anônimos. Também permite que eles ataquem dispositivos de seus dispositivos móveis, o que significa que eles podem lançar um ataque cibernético de qualquer lugar. O anonimato torna extremamente difícil atribuir os ataques a alguém — e detê-los —.

A cadeia de infecção

Veja como funciona a cadeia de infecção do ToxicEye:

• O invasor primeiro cria uma conta do Telegram e, em seguida, um bot do Telegram “ ” que pode realizar ações remotamente por meio do aplicativo.
• Esse bot token é inserido no código-fonte malicioso.
• Esse token malicioso o código é enviado como spam de e-mail, que geralmente é disfarçado como algo legítimo no qual o usuário pode clicar.
• O anexo é aberto, instalado no computador host e envia informações de volta ao centro de comando do invasor por meio do bot do Telegram.

Como este RAT é enviado por e-mail de spam, você nem mesmo precisa ser um usuário do Telegram para ser infectado.

Mantendo-se seguro

Se você acha que pode ter baixado o ToxicEye, o Check Point aconselha os usuários a verificarem o seguinte arquivo no seu PC: C: \ Users \ ToxicEye \ rat. exe

Se você encontrá-lo em um computador de trabalho, apague o arquivo do sistema e entre em contato com o suporte técnico imediatamente. Se estiver em um dispositivo pessoal, apague o arquivo e execute uma verificação de software antivírus imediatamente.

No momento da redação, no final de abril de 2021, esses ataques foram descobertos apenas em PCs com Windows. Se você ainda não instalou um bom programa antivírus, agora é a hora de obtê-lo.

Outro conselho testado e aprovado para uma boa “ higiene digital ” também se aplica, como:

• Não abra anexos de e-mail que pareçam suspeitos e / ou de remetentes desconhecidos.
• Tenha cuidado com os anexos que contêm nomes de usuário. E-mails maliciosos geralmente incluem seu nome de usuário na linha de assunto ou um nome de anexo.
• Se o e-mail tentar soar urgente, ameaçador ou autoritário e pressioná-lo a clicar em um vincular / anexar ou fornecer informações confidenciais, provavelmente é malicioso.
• Use software anti-phishing, se puder.

O código do Masad Stealer foi disponibilizado no Github após os ataques de 2017. A Check Point afirma que isso levou ao desenvolvimento de uma série de outros programas maliciosos, incluindo o ToxicEye:

“ Desde que Masad se tornou disponível em fóruns de hackers, dezenas de novos tipos de malware que usam o Telegram para [comando e controle] e exploram o Telegram &’ s recursos para atividades maliciosas, foram encontrados como & # 8216; disponíveis no mercado &’ armas em repositórios de ferramentas de hacking no GitHub. ”

As empresas que usam o software fariam bem em considerar mudar para outro ou bloqueá-lo em suas redes até que o Telegram implemente uma solução para bloquear esse canal de distribuição.

Nesse ínterim, os usuários individuais devem manter os olhos abertos, estar cientes dos riscos e verificar seus sistemas regularmente para erradicar as ameaças — e talvez considerar alternar para o Signal.

Veja Também:

• Como desativar as dicas de ferramentas animadas grandes do Photoshop
• Como mudar para uma conta comercial do Instagram
• O que significa “Adotando aplicativos” em um Mac?
• Como configurar a autenticação de dois fatores no 1Password
• Como os AirTags da Apple evitam que os perseguidores rastreiem você