Com a pandemia, as apps de conversação tornaram-se cada vez mais importantes e não admira que se tenham tornado, por isso, um alvo favorito dos hackers. O Telegram tem sido das apps mais requisitadas, mas a Check Point descobriu agora um novo tipo de ataque particularmente perigoso.
O ataque dá-se sob a forma de um email com um executável que, uma vez aberto instala comandos no computador que permitem uma execução remota com total controlo por parte do atacante.
O mais impressionante no ataque é que não precisamos de ter o Telegram em uso, ou sequer instalado. Mas o Telegram é precisamente o vetor de ataque e é utilizado como Command & Control, porque é visto como um serviço legítimo e não é, por isso sinalizado por soluções de antivirus ou gestão de rede, além da aplicação já estar em si mesma preparada para enviar e receber ficheiros, facilitando em tudo o ataque.
Uma vez instalado o ToxicEye, o trojano pode localizar e roubar dados de acesso, histórico, gravar vídeo e áudio e mesmo encriptar ficheiros para pedir um resgate.
Segundo a Check Point, a cadeia de infeção é a seguinte:
- O atacante começa por criar uma conta de Telegram e um bot. Um bot de Telegram é uma conta remota com a qual os utilizadores podem interagir.
- O token do bot é agrupado com o malware escolhido.
- O malware é disseminado através de campanhas de mail spam e enviado como anexo. Um dos exemplos identificados pela CPR tinha um ficheiro anexado denominado ‘paypal checker by saint.exe’.
- A vítima abre o anexo malicioso que a conecta ao Telegram. Qualquer vítima infetada com o payload malicioso pode ser atacada através do bot do Telegram, que conecta o dispositivo do utilizador de volta ao servidor C&C do Telegram do atacante.
- O atacante adquire total controlo sobre a vítima e pode executar uma série de atividades maliciosas.
Como saber se está a ser atacado?
- Procure por um ficheiro chamado C:\Users\ToxicEye\rat.exe. Se o encontrar no computador é porque está infetado. Neste caso, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.
- Monitorize o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.
- Esteja atento aos anexos que contêm nomes de utilizador. E-mails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado. Não abra estes anexos, apague os e-mails e não responda ao remetente.
- Tenha cuidado com remetentes anónimos ou desconhecidos. Receber um e-mail de um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail é malicioso ou de phishing.
- Repare sempre na tipo de linguagem utilizado. Invocar um sentido de urgência ou medo é uma tática comum nos ataques de phishing. Os ciberatacantes recorrem muitas vezes a técnicas de engenharia social que procuram tirar proveito da falha humana para atividades ilícitas, como roubo de informações pessoais.
- Implemente uma solução automatizada anti-phishing. Para minimizar os riscos de uma organização ser vítima de um ataque de phishing é necessário contar com um software anti-phishing que, através de Inteligência Artificial, identifique e bloqueie conteúdos maliciosos de todos os serviços de comunicação da empresa (e-mail, aplicações de produtividade, etc.) e plataformas (dispositivos móveis, etc.). Esta cobertura abrangente é imprescindível visto que o conteúdo phishing pode provir de qualquer meio e os colaboradores estão cada vez mais vulneráveis a estas técnicas.