Os Aplicativos de Bate-Papo Gratuitos são Ótimos Canais de Comunicação para os Hackers

Trabalhar para uma grande empresa geralmente envolve a comunicação com muitas pessoas que não estão necessariamente perto de você. Você pode ligar para eles por telefone, mas essa nem sempre é a solução mais prática. A comunicação por email é uma opção, mas pode causar atrasos indesejados. Os aplicativos de bate-papo geralmente são sua melhor aposta, e é por isso que as empresas que fornecem serviços de mensagens instantâneas prosperam nos últimos anos. De acordo com um relatório da Trend Micro, por exemplo, cerca de 77% das empresas da Fortune 100 trabalham com o Slack. Infelizmente, o mesmo relatório mostra que as grandes empresas podem não ser as únicas a aproveitar os serviços de bate-papo gratuitos.

A idéia de usar esses aplicativos para fins maliciosos não é nova. De fato, há alguns anos, o protocolo da camada de aplicativo IRC (ou Internet Relay Chat) foi amplamente utilizado para controlar malware. Com o tempo, porém, a popularidade do IRC diminuiu e, tendo percebido os riscos à segurança, os administradores de sistemas começaram a bani-lo nas redes corporativas. No momento, as empresas contam com alternativas mais modernas de mensagens instantâneas. Infelizmente, durante um projeto de pesquisa que durou um ano e meio, os especialistas da Trend Micro viram que os agentes de ameaças estão tentando acompanhar. Os pesquisadores examinaram os mecanismos que poderiam permitir que hackers usassem as APIs dos aplicativos de bate-papo como parte de sua infraestrutura de Comando e Controle (C&C). Sua pesquisa abrangeu as populares plataformas de mensagens Slack, Discord e Telegram, HipChat e Mattermost (alguns serviços auto-hospedados), bem como as APIs do Twitter e Facebook.

O Slack é de longe a mais amplamente usada das plataformas de mensagens instantâneas independentes. É favorecido pelas empresas porque oferece uma coleção de ferramentas projetadas para facilitar o trabalho dos funcionários. Além disso, ele possui uma API que pode ser incorporada ao software personalizado, o que significa que os usuários podem executar uma infinidade de tarefas sem precisar alternar entre diferentes aplicativos o tempo todo. Felizmente, não há incidentes conhecidos de atores de ameaças se comunicando com sistemas infectados por meio da API do Slack. Apesar disso, os pesquisadores da Trend Micro descobriram que esse cenário é possível.

Como os Hackers se Aproveitaram dos Aplicativos de Bate-Papo?

O que eles fizeram foi criar uma equipe do Slack e solicitar um token de teste da API. A função do token de teste é bastante auto-explicativa. Ele permite que desenvolvedores e clientes garantam que tudo funcione ao desenvolver e incorporar um aplicativo que usará a API do Slack. Os especialistas da Trend Micro descobriram, no entanto, que o token pode ser abusado.

Primeiro, eles configuraram um canal usando uma solicitação simples da API e, em seguida, criaram um soquete da web. Usando o token de teste para autenticação, eles estabeleceram uma conexão com o websocket, o que lhes permitiu enviar comandos que foram executados pelo computador host. Em um cenário de ataque, um canal separado seria criado para cada alvo, e os agentes de ameaças de tarefas maliciosas podem executar desde buscar a lista de diretórios até executar comandos do shell. Eles também podem roubar arquivos, capturar capturas de tela e gravar pressionamentos de teclas, e o mais inteligente é que tudo o que eles pegam do computador da vítima é carregado nos servidores do Slack, o que significa que é improvável que as ferramentas de monitoramento de rede detectem algo suspeito.

O mesmo ocorre com o Discord, uma plataforma de bate-papo voltada principalmente para os jogadores. Quando a API é usada, ela envia uma solicitação de DNS para gateway.discord.gg e o restante da comunicação também é tratado pelos servidores da plataforma de mensagens, o que significa que a detecção de agentes de ameaças que filtram dados pela API da Discord é quase impossível. O roubo de informações pode acontecer através da função de criação de mensagem. Quando analisaram o aplicativo, os pesquisadores da Trend Micro não encontraram evidências de que alguém usasse a API do Discord como uma infraestrutura de C&C. Alguém estava usando webhooks Discord, no entanto.

Diferentemente das APIs, os webhooks não são projetados para facilitar a comunicação bidirecional. O que eles fazem é enviar informações, desde que determinadas condições sejam atendidas. Nesse caso em particular, o webhook foi acionado por um popular jogo online chamado Roblox. Os pesquisadores descobriram algumas tensões de malware que esperariam o lançamento do jogo. Quando o fez, o software malicioso solicitou um cookie de conta ao servidor do Roblox, que posteriormente foi enviado pelo webhook do Discord. O cookie deu aos atores da ameaça acesso às contas das vítimas e permitiu que eles roubassem a moeda do jogo.

Hackers encontram ganho monetário através de aplicativos de bate-papo

Por falar em moeda, os especialistas também encontraram um minerador de Bitcoin que foi espalhado com a ajuda da Discord. Minerar esse tipo específico de criptomoeda hoje em dia não é exatamente a coisa mais fácil do mundo, mas, como observou a Trend Micro, os hackers foram espertos quando escolheram o Discord como seu método de distribuição preferido. Como já mencionamos, a plataforma é usada principalmente por jogadores, e é provável que os jogadores tenham unidades de processamento gráfico (GPUs) poderosas, a peça de hardware mais importante quando se trata de mineração de criptomoedas. Por uma boa medida, o minerador de Bitcoin Trend Micro encontrado foi projetado para fazer um overclock da GPU antes de iniciar o processo.

Além do minerador, os pesquisadores descobriram várias outras amostras de malware, incluindo ferramentas de cracking, geradores de chaves e até kits de exploração hospedados pelo Discord. A Trend Micro informou o fornecedor e os arquivos maliciosos foram removidos rapidamente.

O próximo na lista dos pesquisadores foi o Telegram. Para os usuários regulares, a inscrição no Telegram parece mais segura quando comparada ao Slack ou ao Discord. O registro não acontecerá sem um número de telefone válido, por exemplo, e os administradores de rede também estarão em uma posição melhor, pois o serviço de bate-papo se comunica com diferentes subdomínios nas diferentes plataformas. As mudanças não impediram os atores de ameaças de abusar do Telegram.

De fato, diferentemente do Slack and Discord, o Telegram tem sido usado ativamente como uma ferramenta de comunicação da C&C. É daí que o Telebots, o grupo de hackers que atacou alvos ucranianos selecionados com o malware KillDisk, recebeu seu nome. A API do Telegram também foi usada para conversar com o Telecrypt, uma família de ransomware que também recebeu o nome do serviço de mensagens instantâneas. Ambos os incidentes estão bem documentados e os maus atores provavelmente continuarão abusando da plataforma.

As Redes Sociais Têm Prioridade

Uma opção mais fácil para eles seria usar redes sociais como Twitter e Facebook como um meio de enviar comandos para hosts infectados. Existem algumas limitações, no entanto.

Embora os hackers usem o Twitter como parte de sua infraestrutura de C&C, o limite de 140 caracteres significa que os chapéus pretos não podem fazer muito, especialmente quando se trata de roubar informações. Nesse sentido, o Facebook, que define seu limite em mais de 63 mil caracteres, é a melhor opção. A Trend Micro observou, no entanto, que os funcionários de Mark Zuckerberg colocaram uma forte proteção de back-end contra scripts maliciosos.

Finalmente, os pesquisadores deram uma olhada no HipChat e no Mattermost, as duas plataformas auto-hospedadas da lista. Suas APIs podem ser usadas para acessar computadores infectados, mas, como a comunicação passa por um servidor que precisa ser especialmente configurado, o procedimento de configuração de um canal não difere muito da montagem de um C&C tradicional. No caso de Mattermost, a comunicação em tempo real também pode ser difícil, mas talvez a maior limitação seja a falta de popularidade dos serviços.

O que nos leva de volta ao Slack, Telegram e Discord, as plataformas com maior probabilidade de abuso. O trabalho de pesquisa da Trend Micro mostra uma imagem bastante sombria, mas deve-se notar que existe um revestimento prateado. O uso desses serviços para roubar informações (a maior ameaça às redes corporativas) seria extremamente difícil, devido aos limites de tamanho de arquivo que eles impõem aos dados transmitidos e hospedados. Em alguns casos, um ataque não é possível sem um token de autenticação roubado ou credenciais de logon vazadas.

Em suma, nem tudo é triste e sombrio, e as inúmeras empresas que dependem desses serviços não devem apenas abandoná-los e procurar novas maneiras de organizar seus dias de trabalho. Mais vigilância dos administradores de sistema e funcionários regulares não faria mal, no entanto.