Os cibercriminosos estão se voltando para aplicativos de mensagens como Telegram e Discord como alternativas para fóruns clandestinos populares: não apenas para comunicações privadas e recursos de segurança, mas também como avenidas para espalhar malware.
Pesquisadores do fornecedor de informações de segurança Intel 471 têm rastreado o movimento de mais de uma dúzia de grupos de ameaças que estão usando as plataformas principalmente para hospedar e distribuir malware que rouba informações e para se comunicar mais facilmente com outras pessoas na comunidade de crimes cibernéticos.
“Uma combinação de simplicidade e segurança encontrada no Telegram forneceu um hub de comunicação perfeito para invasores: os cibercriminosos podem enviar mensagens a outros individualmente ou em grupos, além de receber ou enviar grandes arquivos de dados”, os pesquisadores escreveu em uma postagem de blog publicada na terça-feira.
“O Telegram também oferece aos atores a capacidade de criar canais sob medida para interesses específicos que normalmente não são ativos em fóruns clandestinos cibernéticos. para conduzem operações criminosas formando e juntando grupos e canais que se alinham com seus interesses e objetivos.”
A migração para Telegram e Discord ilustra a natureza dinâmica dos grupos criminosos e do mundo em que operam , de acordo com Garrett Carstens, diretor de gerenciamento de coleta de informações da empresa.
“Os cibercriminosos vão mudar toda e qualquer faceta de suas operações como acharem melhor, especialmente em face de problemas operacionais ameaças de segurança”, disse Carstens, acrescentando que alguns fóruns clandestinos proibiram a discussão de ransomware após os ataques de alto perfil Colonial Pipeline e JBS Foods, que trouxeram escrutínio indesejado do governo dos EUA.
“Os cibercriminosos procurariam encontrar outra plataforma onde pudessem falar sobre suas operações. A natureza fechada fornecida pelo Telegram, combinada com a capacidade de ter conversas individuais, oferece aos cibercriminosos uma maneira mais fácil de se comunicar, por isso não é de surpreender que eles tenham atraído ainda mais essa plataforma.”
Em uma postagem anterior no blog na semana passada, os analistas da Intel 471 disseram que aplicativos como Telegram e Discord permitem que os usuários criem e compartilhem programas e mídia, joguem e realizem outras tarefas automatizadas. Os cibercriminosos estão usando esses recursos semelhantes a bots para executar campanhas que permitem que eles roubem credenciais e outras informações das vítimas.
- Risco de exército de bots, pois mais de 3.000 aplicativos encontrados derramando chaves de API do Twitter
- O malware Luca Stealer se espalha rapidamente depois que o código aparece com facilidade no GitHub
Os criminosos visam causar discórdia no Discord com pacotes npm maliciosos
- O malware Luca Stealer se espalha rapidamente após o código aparecer no GitHubExistem vários ladrões de informações t Hat pode ser baixado gratuitamente e depende do Telegram ou Discord para funcionar, escreveram os pesquisadores. O malware rouba uma série de dados, de favoritos e cookies do navegador a informações do sistema operacional, senhas, carteiras de criptomoedas e chaves de produtos do Microsoft Windows. Vários ladrões de informações, incluindo Blitzed Grabber, Mercurial Grabber e 44Caliber, também visam credenciais vinculadas às plataformas de jogos Minecraft e Roblox.
Blitzed Grabber usa o recurso de webhooks do Discord para armazenar dados exfiltrados pelo malware que os atacantes podem usar ou vender para outros criminosos. Outro, apelidado de Arquivo X, inclui funções que podem ser acessadas por meio de comandos de bot dentro do Telegram.
“Uma vez que o malware é carregado no sistema da vítima, os agentes maliciosos podem passar senhas, cookies de sessão , credenciais de login e detalhes do cartão de crédito, tendo essas informações direcionadas para um canal do Telegram de sua escolha”, escreveram os pesquisadores. “Os Arquivos X podem obter informações de uma variedade de navegadores, incluindo Google Chrome, Chromium, Opera, Slimjet e Vivaldi.”
O Prynt Stealer funciona de maneira semelhante, mas não possui comandos embutidos do Telegram.
Os bandidos também gostam de automatizar
Alguns grupos de ameaças também usam a rede de entrega de conteúdo do Discord para hospedar cargas úteis de malware, enquanto outros aproveitam os bots do Telegram para interceptar tokens de senha de uso único, de acordo com a Intel 471. Eles também estão construindo serviços aos quais podem vender acesso. Uma assinatura de um dia para um bot pode custar apenas US$ 25, enquanto uma assinatura vitalícia está disponível por US$ 300.
“A automação em plataformas de mensagens populares reduz a barreira de entrada para agentes mal-intencionados, “, escreveram os pesquisadores. “Embora os ladrões de informações por si só não causem a mesma quantidade de danos que malware como um limpador de dados ou ransomware, eles podem ser o primeiro passo para lançar um ataque direcionado contra uma empresa.”
Telegram também se tornou uma escolha popular para comunicações anônimas, enquanto os serviços clandestinos de mensagens em fóruns são monitorados por administradores. O Telegram oferece comunicação criptografada quase em tempo real se ambas as partes estiverem online ao mesmo tempo e não trazem consigo os mesmos riscos de segurança que os fóruns clandestinos, desde um atraso nas mensagens até um histórico de comprometimentos e despejos de dados, Carstens da Intel 471 disse.
Os cibercriminosos também estão usando o aplicativo de mensagens como um mercado para informações roubadas, como contas bancárias e dados de cartões de pagamento, e para serviços como spam por SMS.
A adoção por grupos de ameaças do Telegram e Discord pode ser um benefício para os fornecedores de segurança cibernética, disse Carstens. Ele observou que “os TTPs mais frequentes os atores de ameaças usados nos estágios formativos de um ataque cibernético são mais fáceis de identificar do que aqueles nos estágios finais destrutivos. Ao observar o que os atores estão discutindo no Telegram, as equipes de segurança e a aplicação da lei podem impedir os ataques antes que eles comecem.”
Dito isso, os cibercriminosos continuarão a usar fóruns clandestinos, alguns dos quais oferecem recursos como sistemas de pontuação embutidos usados para construir reputações. Além disso, embora o Telegram tenha uma “abordagem de laissez-faire para políticas de privacidade”, incluindo a recusa em cooperar com a aplicação da lei, a empresa este ano começou a reforçar sua política de remover dados pessoais compartilhados no plataforma sem consentimento, escreveram os pesquisadores.
Se mais grupos de ameaças mudarão suas comunicações para o Telegram “vai depender de como o Telegram reagirá ao influxo de cibercriminosos usando a plataforma”, disse Carstens. é possível supervisão adicional, moderação de conteúdo e políticas de plataforma alteradas podem resultar em cibercriminosos buscando plataformas de mensagens alternativas no futuro.” ®
