Fique atento: vulnerabilidade no Telegram permite lançar malware através de bots

Muitos recorrem ao aplicativo de mensagens Telegram como alternativa supostamente mais privada do que os concorrentes como WhatsApp e Facebook Messenger. O mensageiro tem sido posicionado como um app de comunicação criptografada para aqueles, em especial, mais preocupados com vigilância e censura. Entretanto, uma nova investigação da empresa de cibersegurança Forcepoint indicou uma grave vulnerabilidade na segurança e privacidade da ferramenta. Segundo a descoberta, o aplicativo tem sido usado como infraestrutura de comando e controle (C2) para lançar malware. Em post publicado no blog da companhia, o pesquisador de segurança Abel Toro, detalhou como cibercriminosos podem se beneficiar da API Telegram Bot para se comunicarem com malware.

Bots do Telegram são programas que podem ser incorporados em chats do mensageiro ou em canais públicos e que conseguem realizar e automatizar funções específicas. Entre os exemplos estão teclados customizados, memes sob demanda ou mesmo a transação de pagamentos. O modelo de bots tem sido suportado pelo Telegram desde 2015 e são populares, pois são convenientes e divertidos. Entretanto, o que a Forcepoint descobriu ao investigar a API de bots foi que o recurso não incorpora o algoritmo de criptografia que o Telegram usa para proteger os bate-papos. Dessa forma, ao acrescentar um bot a um chat ou um canal, a plataforma acaba se tornando menos segura e facilita a entrada de uma pessoa mal intencionada para interceptar mensagens.

“Devido à forma como a API Bot funciona, todas as mensagens passadas do bot podem ser reproduzidas por um adversário que seja capaz de interceptar e descriptografar o tráfego HTTPS. Em termos práticos, isso pode fornecer ao adversário o histórico completo de todas as mensagens enviadas ou recebidas pelo bot de destino. Isso muitas vezes inclui mensagens entre usuários regulares, pois os bots frequentemente compartilham um grupo de bate-papo com eles”, explicou Toro.

O Telegram usa criptografia MTProto criada internamente dentro do tráfego TLS para proteger as mensagens entre usuários regulares. Segundo a empresa, apenas o TLS não é seguro o suficiente para um aplicativo de mensagens criptografadas. Entretanto, Toro indica que isso não se aplica ao caso de programas que usam a API Bot do Telegram, e as mensagens enviadas desta forma só são protegidas pela camada HTTPS. “Para piorar as coisas, qualquer adversário capaz de obter informações importantes transmitidas em cada mensagem pode não apenas acessar as mensagens em trânsito, como também recuperar o histórico completo de mensagens do bot de destino”, ressaltou o pesquisador.

Segundo a Forcepoint, o malware em questão é bastante simples, criado em .NET, com o operador apelidado de ‘GoodSender ‘ e que utiliza o Telegram como C2. Uma vez que o malware é instalado, ele cria um novo usuário administrador e habilita a área de trabalho remota, certificando-se de que o recurso não está bloqueado pelo firewall. O nome de usuário do novo administrador é estático, mas a senha é gerada aleatoriamente. Todas essas informações (o nome de usuário, a senha e o endereço IP da vítima) são enviadas ao operador através da rede Telegram, proporcionando ao operador acesso ao computador da vítima através do protocolo RDP.

“Apesar do Telegram ser anunciado como um aplicativo de mensagens seguras e utilizar um esquema de criptografia com garantias mais elevadas do que o TLS (pelo menos, em teoria) durante os chats regulares, os bots utilizam TLS tradicional para criptografar dados em trânsito”, alertou Toro. Com isso, um atacante poderia obter acesso ao token do bot, bem como ao chat_id, levando ao comprometimento total não apenas da comunicação atual, mas de todas as comunicações anteriores.

A Forcepoint informou que avisou o Telegram sobre a vulnerabilidade e recomendou a todos os usuários evitarem o uso de bots do Telegram, bem como canais e grupos que tenham um bot.