Um sofisticado Trojan de Acesso Remoto (RAT), baseado em Linux e chamado TgRat, é controlado através de um bate-papo privado do Telegram.
Esse malware, que permite que os cibercriminosos controlem remotamente as máquinas infectadas, exfiltram dados e executem comandos, foi inicialmente descoberto em uma versão do Windows há dois anos, mas agora foi adaptado para atingir ambientes Linux.
O trojan TgRat opera conectando-se a um bot Telegram, um método que aproveita o uso generalizado da plataforma de mensagens popular em ambientes corporativos. Esse mecanismo de controle exclusivo permite que os invasores emitam comandos para o sistema infectado secretamente, dificultando a detecção da infecção pelas vítimas.
Após a infecção, o TgRat verifica que está sendo executado em uma máquina alvo comparando o hash do nome do computador com uma string incorporada. Se os valores não se alinharem, o malware se auto-termina, evitando a detecção. Se coincidir, o trojan se conecta ao bot do Telegram e aguarda mais instruções de seus operadores.
Uma vez estabelecido, o TgRat executa várias atividades maliciosas, incluindo o download de arquivos, capturas de tela e a execução de comandos remotamente. Seu design permite a execução de scripts inteiros através de uma única mensagem, aumentando sua eficácia e furtividade.
O uso do Telegram para comando e controle torna este trojan particularmente furtivo. O tráfego regular para os servidores do Telegram pode facilmente disfarçar comunicações maliciosas, complicando os esforços de detecção para as equipes de segurança de rede.
Embora o TgRat trojan seja uma ameaça sofisticada, os profissionais de segurança cibernética podem identificar sua atividade monitorando o tráfego de rede. Trocas incomuns com servidores Telegram de dispositivos de rede locais podem sinalizar um potencial comprometimento, permitindo uma intervenção oportuna.