Um grupo de hackers com ligações na Rússia encontra-se a usar o Telegram para distribuir malware. A plataforma de mensagens e a sua API é usada como um centro de controlo para o malware, de onde os criminosos enviam os comandos e podem receber os dados roubados dos sistemas das vítimas.
De acordo com a empresa de segurança Netskope, o malware encontra-se desenvolvido na linguagem de programação Golang, sendo que o mesmo foca-se em instalar nos sistemas infetados um backdoor, que permite o acesso remoto ao dispositivo.
O destaque deste malware encontra-se relacionado com a forma como o mesmo obtém os comandos para ataques, e para onde envia os mesmos. O malware encontra-se programado para usar a API do Telegram, em canais específicos em controlo dos atacantes, para enviar e receber informações.
De tempos a tempos, o malware liga-se a estes canais, de forma a descarregar os comandos mais recentes para realizar as suas atividades. As mensagens do canal encontram-se a ser enviadas em russo, o que indica a possível origem dos atacantes e do grupo responsável pelo mesmo.
Tendo em conta que o malware usa a API do Telegram, e que esta é considerada na maioria das infraestruturas como segura, os atacantes podem rapidamente enviar os comandos sem serem identificados ou detetados pelas soluções de segurança tradicionais.
Este formato de ataque não é inteiramente novo, tendo em conta que plataformas como o GitHub, OneDrive e outros já foram usados para casos similares. Mas tornam bastante mais complicada a tarefa de identificar e bloquear este formato de ataques.
A API do Telegram pode ser usada para vários fins, e é complicado de diferenciar quando será um uso legítimo ou de um malware.
Como sempre, a proteção principal parte dos próprios utilizadores e das soluções de segurança que os mesmos possuem nos seus sistemas, com softwares atualizados de proteção a serem recomendados.
Nenhum comentário
Seja o primeiro!