Novo malware utiliza API do Telegram para comunicação
Pesquisadores da área de cibersegurança identificaram um novo backdoor desenvolvido na linguagem Golang, que se comunica por meio da API do Telegram Bot para executar comandos remotamente. Conforme análise conduzida pelo Netskope Threat Labs, há fortes indícios de que o malware tenha origem russa. Apesar de ainda estar em fase de desenvolvimento, ele já se encontra totalmente funcional.
Ao ser ativado, o software malicioso verifica se está sendo executado no diretório “C:\Windows\Temp\svchost.exe”. Caso contrário, ele se duplica nesse local, inicia uma nova instância e encerra o processo original.
O grande diferencial dessa ameaça é o uso do Telegram como meio de comunicação, permitindo que criminosos cibernéticos enviem e recebam comandos de maneira discreta por um chat privado. O resultado das ações executadas é transmitido de volta ao canal de controle, eliminando a necessidade de uma infraestrutura tradicional de C2 (comando e controle), que normalmente pode ser identificada e bloqueada mais facilmente. Outro indício da possível origem russa do malware é o fato de que, ao receber o comando “/cmd”, ele exibe uma mensagem no chat escrita em russo, solicitando a inserção de novos comandos.
De acordo com especialistas, o uso de serviços em nuvem como o Telegram dificulta a detecção por equipes de segurança, uma vez que essas plataformas são amplamente utilizadas por usuários legítimos e raramente bloqueadas em redes corporativas. A descoberta desse backdoor reforça os desafios crescentes na cibersegurança, demonstrando como criminosos exploram ferramentas legítimas para ocultar atividades maliciosas e exigindo novas estratégias para identificação e mitigação de ameaças que utilizam comunicação baseada em nuvem.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
