Cibercriminosos supostamente russos empregam a API do Telegram para comandar um malware desenvolvido em Golang, permitindo o controle remoto de dispositivos enquanto dificultam a detecção.
Método de Operação do Malware
Um grupo de hackers, cuja origem é atribuída à Rússia, está utilizando o Telegram como canal de comando e controle para implantar um malware em dispositivos das vítimas, de acordo com informações divulgadas pela empresa de segurança na nuvem Netskope em 14 de fevereiro de 2025. Desenvolvido na linguagem de programação Golang, o arquivo malicioso atua como um backdoor assim que é executado pela primeira vez. Após a instalação inicial, o malware verifica se está operando em um ambiente e sob um nome de arquivo pré-determinados, copiando-se automaticamente para a área designada caso contrário, o que garante sua persistência e dificulta sua identificação pelos sistemas de segurança.
Funcionamento e Comandos
Utilizando uma biblioteca de código aberto que possibilita a interação com a API do Telegram Bot, o malware se conecta a um chat controlado pelos invasores para aguardar novas instruções. Embora haja suporte para quatro comandos, apenas três encontram-se implementados no momento. Por meio desses comandos, a ameaça virtual pode executar rotinas via PowerShell, reiniciar-se e inclusive autodestruir-se, encerrando seu próprio processo. As respostas e saídas geradas são transmitidas de volta ao chat do aplicativo, e as instruções enviadas – redigidas em russo – fornecem indícios sobre a possível origem da operação.
Desafios e Implicações para a Segurança
A utilização de soluções baseadas na nuvem para atividades maliciosas impõe novos desafios aos mecanismos de monitoramento e proteção, pois essas plataformas oferecem facilidade de uso para os cibercriminosos. Além do Telegram, outras ferramentas como GitHub, OneDrive e Dropbox podem ser exploradas de maneira similar. Leonardo Fróes, pesquisador de segurança da Netskope, ressaltou a dificuldade em “diferenciar o que é um usuário normal usando uma API e o que é uma comunicação C2”, destacando a complexidade desse novo cenário de ameaças.
Recomendações de Proteção
Para mitigar os riscos decorrentes dessas explorações, especialistas recomendam a manutenção de um antivírus confiável e atualizado em todos os dispositivos. Tais soluções podem identificar e bloquear arquivos executáveis compilados em Golang, como os utilizados nesta campanha, contribuindo para a proteção contra invasões e o comprometimento do sistema.
—
Texto adaptado de TecMundo e revisado pela nossa redação.
