Os operadores de ameaças descobriram como usar a funcionalidade e a infraestrutura existentes em aplicativos de mensagens populares, como o Telegram e o Discord, para disseminar e executar uma variedade de malware, conforme comprovam campanhas em andamento. Eles têm usado desde bots que permitem jogos e compartilhamento de conteúdo até redes de entrega de conteúdo, ideais para hospedar arquivos maliciosos, em uma nova onda de ataques, de acordo com pesquisadores de segurança da Intel 471.
Na maioria das vezes, o malware é usado junto com infostealers (trojans que roubam informações) facilmente adquiridos para atacar usuários desavisados e roubar suas credenciais, dados preenchidos automaticamente, informações de cartão de pagamento e muito mais.
O uso de plataformas de mensagens, como Telegram e Discord, permite que os agentes de ameaças se escondam à vista de todos. Segundo os pesquisadores, alguns invasores obtiveram sucesso usando redes de entrega de conteúdo como o Discord para hospedar seu malware, que, observam eles, não têm restrições para hospedagem de arquivos. “Os links estão abertos a qualquer usuário sem autenticação, dando aos operadores de ameaças um domínio da web altamente respeitável para hospedar cargas maliciosas”, diz o relatório sobre ameaças de aplicativos de mensagens.
O PrivateLoader, Discoloader, o stealer Agent Tesla e o Smokeloader são apenas algumas das famílias de malware que os pesquisadores encontraram à espreita no Discord.
Embora a tática não seja nova, os pesquisadores da Intel 471 apontam um grupo de ameaças emergente, o Astro OTP. Ele está usando ativamente os bots do Telegram para roubar tokens de senha de uso único (OTP) e códigos de verificação de mensagens SMS usados para autenticação de dois fatores. “O operador pode supostamente controlar o bot diretamente através da interface do Telegram, executando comandos simples”, explica o relatório. “O acesso ao bot é extremamente barato, uma assinatura de um dia pode ser comprada por US$ 25, com uma assinatura vitalícia disponível por US$ 300.”
Veja isso
Telegram e redes sociais viram alternativas para cibercriminosos
Telegram se torna novo host para cibercriminosos
A ameaça dessa tática dura muito além do comprometimento inicial A equipe da Intel 471 alerta que a coleta de credenciais comprometidas e outras informações pode ser um precursor crítico de um ataque corporativo devastador. Cabe aos usuários estar cientes da segurança das plataformas de mensagens que usam, dizem os pesquisadores, acrescentando que as equipes de segurança corporativa devem dedicar um tempo para se proteger contra esses tipos de ataques man-in-the-middle em aplicativos de mensagens. Man-in-the-middle é uma forma de ciberataque em que os cibercriminosos agem como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
“Se esses operadores estão roubando credenciais para mais vendas ou ignorando códigos de verificação para obter acesso não autorizado à conta bancária de uma vítima, a facilidade com que os operadores de ameaças podem obter essas informações deve servir como um aviso”, disse Michael DeBolt, diretor de inteligência da Intel 471, ao site Dark Reading sobre as descobertas de sua equipe de pesquisa.
