Há uma nova tendência de ataque entre ciberatacantes. O Telegram, a aplicação de mensagens instantâneas com mais de 500 milhões de utilizadores ativos, é utilizado como sistema de controlo e comando para disseminar malware pelas organizações. Mesmo nos casos em que a app não está instalada ou não é utilizada, o sistema permite aos atacantes enviar comandos e operações maliciosos remotamente. Isto leva a que os destinatários corram sérios riscos.
Leia ainda: “As pessoas não têm consciência do perigo que correm”
Nos últimos três meses, a Check Point Research identificou mais de 130 ciberataques utilizando um Remote Access Trojan (RAT) apelidado de ‘ToxicEye’. Um RAT é um tipo de malware que confere ao atacante controlo total do sistema de um utilizador. O ToxicEye é gerido pelos hackers através do Telegram, comunicando com o servidor do atacante e extraindo dados para lá. Distribui-se através de e-mails de phishing que contêm ficheiros .exe maliciosos que, uma vez abertos, dão início à instalação do malware no computador da vítima e ao desenrolar de uma série de explorações que passam despercebidas.
Porquê o Telegram?
Não perca: Fuga de dados na Clubhouse coloca em perigo privacidade dos utilizadores
A mais recente investigação da Check Point Research revela uma crescente popularidade do malware baseado na aplicação Telegram. O que em muito se deve também à cada vez maior atenção que o serviço de mensagens online tem tido em todo o mundo. Dezenas de novos tipos de malware baseados no Telegram foram encontrados como “armas de reserva” em repositórios de ferramentas de hacking do GitHub. Os cibercriminosos percecionam o Telegram como uma parte imprescindível dos seus ataques devido a um número de benefícios operacionais:
· O Telegram é um serviço legítimo, estável e de fácil utilização que não está sinalizado pelas soluções de antivírus nem pelas ferramentas de gestão de rede.
· Mantém o anonimato, já que o processo de registo requer apenas o número de telemóvel.
· As funcionalidades de comunicação únicas do Telegram permitem aos atacantes extrair facilmente dados dos computadores das vítimas ou transferir novos ficheiros maliciosos para dispositivos infetados.
· O Telegram possibilita ainda que os atacantes utilizem os seus dispositivos móveis para aceder a computadores infetados a partir de quase qualquer localização do mundo.
Saiba se está a ser atacado e mantenha-se protegido
1. Procure por um ficheiro chamado C:\Users\ToxicEye\rat.exe. Se o encontrar no computador é porque está infetado. Neste caso, deve imediatamente contactar a sua helpdesk e apagar o ficheiro do sistema.
2. Monitorize o tráfego gerado entre computadores da sua organização e contas de Telegram C&C. Se for detetado e se o Telegram não está instalado enquanto solução empresarial, pode ser indício de que a segurança foi comprometida.
Veja também: “Investir está ao alcance de todos, mas requer trabalho de casa”
3. Esteja atento aos anexos que contêm nomes de utilizador. E-mails maliciosos utilizam frequentemente o username da vítima como assunto ou nome do ficheiro anexado. Não abra estes anexos, apague os e-mails e não responda ao remetente.
4. Tenha cuidado com remetentes anónimos ou desconhecidos. Receber um e-mail de um remetente não listado ou cujo nome não é revelado pode indicar que o e-mail é malicioso ou de phishing.
5. Repare sempre na tipo de linguagem utilizado. Invocar um sentido de urgência ou medo é uma tática comum nos ataques de phishing. Os ciberatacantes recorrem muitas vezes a técnicas de engenharia social que procuram tirar proveito da falha humana para atividades ilícitas, como roubo de informações pessoais.
6. Implemente uma solução automatizada anti-phishing. Para minimizar os riscos de ser vítima de um ataque de phishing é necessário contar com um software anti-phishing. Que, através de Inteligência Artificial, identifique e bloqueie conteúdos maliciosos de todos os serviços de comunicação da empresa (e-mail, aplicações de produtividade, etc.) e plataformas (dispositivos móveis, etc.). Esta cobertura abrangente é imprescindível visto que o conteúdo phishing pode provir de qualquer meio. E os colaboradores estão cada vez mais vulneráveis a estas técnicas.