Plataformas populares de bate-papo são usadas como servidores C&C

O microscópio dos pesquisadores de segurança da Trend Micro inclui plataformas populares de bate-papo e redes sociais, Slack, Discord, Telegram, HipChat, Mattermost, Facebook e Twitter, para ver se elas podem ser usadas por invasores mal-intencionados, como hospedagem e hospedagem de bitcoin. mineração, interceptação de dados e assim por diante. Vamos ver o que os resultados da pesquisa mostraram.

chat - chat

De acordo com a Trend Micro, vários serviços e aplicativos populares de mensagens instantâneas, como Slack, Discord e Telegram, podem ser comprometidos por agentes maliciosos e transformados em infraestrutura de gerenciamento e controle de malware (C&C).

Como se vê, os fatores de ameaça podem se tornar muito criativos quando se trata de Comunicações de comando e controle (C&C). Vários grupos de hackers recorreram ao Twitter e, como ficou conhecido recentemente, um grupo de hackers vinculado à Rússia escondeu endereços de servidores da C&C em comentários publicados na conta de Britney Spears no Instagram.

Pesquisadores da Trend Micro pesquisaram várias plataformas populares de bate-papo e descobriram que muitas delas poderiam ser alvo de cibercriminosos, enquanto várias já estão sendo usadas para atividades maliciosas. Esses aplicativos são um alvo tentador para os cibercriminosos, pois costumam ser usados ​​para fins legítimos, dificultando ainda mais a detecção de tráfego malicioso.

Os especialistas analisaram a ferramenta colaborativa Slack, o aplicativo de bate-papo Discord, voltado principalmente para os jogadores, o Telegram messenger que foca na privacidade, a plataforma de mensagens HipChat, a Mattermost, a alternativa de código aberto do Slack, Twitter e Facebook.

Os desenvolvedores desse tipo de aplicativo geralmente fornecem vários componentes de API que permitem a interação com aplicativos personalizados e aplicativos de terceiros (por exemplo, sincronização com o calendário do usuário para receber notificações diretamente na interface da plataforma).

[su_heading]SLACK[/su_heading]

No caso do Slack, os pesquisadores concluíram que a plataforma poderia ser convertida em um servidor C&C, o que não é muito prático para grandes volumes de dados, pois há um limite de 5 GB no upload.

Especialistas criaram um PoC que demonstra como o Slack pode ser comprometido enviando comandos para um bot, listando diretórios, enviando arquivos, executando comandos do sistema, capturando capturas de tela e enviando-as para o Slack.

A Trend Micro identificou alguns arquivos suspeitos que interagem com o Slack, além de alguns aplicativos maliciosos do Android que exploram o Slack para roubar e transmitir informações aos invasores.

[su_heading]DISCÓRDIA[/su_heading]

Quanto ao Discord, os pesquisadores descobriram que a plataforma está sendo usada para hospedar malware, incluindo geradores de chaves, rachaduras, kits de exploração e injetores. A plataforma também é usada para atividades maliciosas relacionadas à mineração de Bitcoin, bem como malware direcionado a usuários da plataforma online Roblox.

[su_heading]TELEGRAMA[/su_heading]

O Telegram, apesar de exigir um número de telefone válido para criar uma conta, também foi considerado vulnerável. Um PoC criado pela Trend Micro mostra que a plataforma pode ser comprometida para executar comandos em um sistema infectado e interceptação de dados. O telegrama também é vulnerável ao backdoor TeleBot e Telecrypt Ransomware.

[su_heading]HIPCHAT, MAIS IMPORTANTE, FACEBOOK[/su_heading]

Também foi descoberto que a API do HipChat fornece a funcionalidade exigida pelos servidores maliciosos de C&C, enquanto o Mattermost parece ser o menos atraente para os invasores. O Facebook também pode ser contornado, como os especialistas da Zone13 provaram recentemente, mas a Trend Micro destaca que a plataforma de rede social possui bons mecanismos para detectar atividades suspeitas nas contas de seus usuários.