O Netskope Threat Labs identificou um novo malware em desenvolvimento, mas já totalmente funcional, que utiliza o Telegram como canal de comando e controle (C2). O código, escrito em Golang, funciona como um backdoor, permitindo que invasores acessem sistemas de forma não autorizada.
A descoberta ocorreu após a análise de um Indicador de Comprometimento (IoC) compartilhado por outros pesquisadores. Segundo Leandro Fróes, especialista do Netskope Threat Labs, o uso de aplicações em nuvem como canais C2 ainda é incomum, mas extremamente eficaz para os atacantes.
“Primeiro porque elimina a necessidade de implementar uma infraestrutura inteira para isso, o que facilita a vida deles, e também porque é muito difícil, sob a perspectiva da defesa, diferenciar o que é um usuário normal usando uma API e o que é uma ameaça executando comandos”, explica Fróes.
Além do Telegram, outras plataformas em nuvem, como OneDrive, GitHub e Dropbox, podem ser exploradas de maneira semelhante, dificultando a detecção pelos times de segurança. Os IoCs e scripts relacionados a essa ameaça foram disponibilizados no repositório GitHub do Netskope Threat Labs.
Golpe de phishing usa CAPTCHA falso para roubar dados de cartões
Além do malware via Telegram, a equipe do Netskope identificou uma campanha de phishing que explora técnicas de SEO, o serviço Webflow CDN e CAPTCHAs falsos para roubo de informações financeiras.
O golpe tem como alvo usuários que buscam documentos em mecanismos de pesquisa. Os criminosos hospedam arquivos PDF maliciosos no Webflow CDN contendo uma imagem de CAPTCHA falsa. Quando a vítima clica na imagem, é redirecionada para um site fraudulento projetado para roubar dados de cartão de crédito.
Para tornar o golpe ainda mais convincente e evitar detecção por ferramentas de segurança, os invasores utilizam o Cloudflare Turnstile, que faz a verificação inicial antes de encaminhar a vítima ao site malicioso.
O Netskope Threat Labs reportou os URLs suspeitos ao Webflow em 23 de janeiro de 2025 e seguirá monitorando essa campanha de phishing.
