Golpe de robôs de negociação: hackers vietnamitas usam o Telegram para operação internacional

Principais insights

• Hackers estão agora implantando robôs de negociação alimentados pelo malware PXA Stealer via Telegram.
• Vítimas em 62 países tiveram dados roubados, incluindo chaves de carteiras de criptomoedas.
• Bots do Telegram estão sendo usados para automatizar o roubo de dados e a revenda.

Uma nova onda de cibercrime está se espalhando rapidamente. Desta vez, é alimentada por robôs de negociação, o malware infostealer… e o Telegram.

De acordo com pesquisadores da SentinelOne e Beazley Security Labs, uma operação massiva de roubo de dados está atualmente em andamento e envolve hackers falantes de vietnamita.

O grupo usa o Telegram para automatizar a revenda de informações roubadas e distribuir o malware PXA Stealer internacionalmente.

Como os robôs de negociação e o PXA stealer funcionam juntos

A operação em questão abrange mais de 60 países. Ela visa tanto indivíduos quanto organizações, e o que a torna diferente de outros esquemas de fraude é sua combinação de táticas de malware-as-a-service (MaaS) e bots do Telegram.

Em termos simples, a barreira agora é baixa o suficiente para que novos (e até inexperientes) cibercriminosos se juntem.

A campanha em si é apoiada pelo infame PXA Stealer, um malware infostealer baseado em Python que silenciosamente coleta dados valiosos do usuário.

Uma vez dentro do sistema, ele captura senhas, informações de cartão de crédito, chaves de carteira de criptomoedas, cookies do navegador e até capturas de tela.

Em seguida, envia tudo diretamente para os atacantes via Telegram.

De acordo com um relatório do Sentinel Labs, as vítimas frequentemente recebem arquivos ZIP que se assemelham a softwares legítimos como Microsoft Word ou leitores de PDF.

Uma vez abertos, os arquivos ativam o programa PXA Stealer, que então começa a coletar e comprimir os dados roubados em arquivos ZIP. Quando isso é feito, os arquivos são então enviados para bots do Telegram, que são controlados por hackers.

Este método é preferido porque é anônimo e fácil de usar. Permite que os hackers gerenciem grandes operações com pouco ou nenhum esforço.

Telegram como um centro de comando e controle

O Telegram não é apenas um aplicativo de mensagens neste caso. Tornou-se um centro de comando e controle (também conhecido como C2) completo.

Os hackers o usam para receber os dados roubados em tempo real e para executar bots que automatizam a revenda das credenciais roubadas.

Eles também usam o serviço de mensagens para se comunicar com outros atacantes, bem como vender kits de malware ZIP e outras ferramentas infostealer.

O Sentinel Labs observou que eles usam bots do Telegram como “Sherlock,” “Moon Cloud” e “Daisy Cloud”. Essas ferramentas deixam os dados roubados prontos para compradores interessados em fraude financeira, roubo de criptomoedas ou outros tipos de infiltração.

Os efeitos do golpe dos robôs de negociação

Até agora, mais de 4.000 endereços IP foram identificados nos registros roubados. Alguns dos dados comprometidos incluem mais de 200.000 senhas e centenas de registros de cartão de crédito.

Mais de 4 milhões de cookies de navegador também foram expostos, permitindo que os atacantes sequestrem sessões online.

Eles agora podem contornar senhas completamente e atacar vítimas em países como EUA, Coréia do Sul, Áustria e Holanda.

Apenas em julho, uma nova isca de phishing, disfarçada como um executável do Microsoft Word, foi detectada. Este arquivo foi projetado para burlar ferramentas antivírus e não incluía links suspeitos.

Esta operação é mais do que um caso isolado. É parte de uma tendência crescente, e vários grupos de hackers agora colaboram para realizar golpes usando ferramentas compartilhadas e redes de bots para aumentar os lucros.

Prevenção e o que você pode fazer

Os pesquisadores da SentinelOne alertam que o malware ainda está em desenvolvimento ativo. Isso significa que novas versões são mais difíceis de detectar e podem até vir com novos recursos.

Para se manter protegido, evite abrir arquivos ZIP de fontes desconhecidas, não instale softwares de links suspeitos e monitore todo o tráfego de saída, especialmente para domínios do Telegram.

Por fim, sempre use software antivírus que possa detectar malware baseado em Python e mantenha-se atualizado sobre os riscos de phishing e malware ZIP.

As organizações também devem limitar o uso do Telegram em sistemas da empresa e monitorar qualquer tipo de comportamento incomum do usuário.