Tria Stealer: O Uso do Idioma Indonésio e Bots do Telegram como Servidores C2

O malware Tria Stealer tem chamado a atenção de especialistas em cibersegurança por sua capacidade de coletar e exfiltrar dados sensíveis das vítimas, incluindo registros de chamadas, mensagens de aplicativos como WhatsApp e WhatsApp Business, além de emails de serviços como Gmail e Outlook. A ferramenta de exfiltração utilizada pelos operadores é a API do Telegram, que permite o envio dos dados roubados diretamente para bots do Telegram que operam como servidores de comando e controle (C2).

Presença na Indonésia e o Uso do Idioma:

A análise da Kaspersky sugere que Tria Stealer está fortemente associado a campanhas que têm como alvo usuários indonésios. Isso se reflete não apenas nas iscas utilizadas – como mensagens falsas de suporte ao cliente, convites de casamento e notificações de entrega de pacotes – mas também na linguagem dos comandos e nos nomes dos bots do Telegram usados para C2. Esses bots seguem convenções de nomeação que frequentemente incluem termos em indonésio, o que pode indicar a origem dos operadores ou sua tentativa de se misturar ao tráfego legítimo do país.

Padrões de Nomeação dos Bots C2 no Telegram

Os bots do Telegram utilizados pelos operadores de Tria Stealer seguem um padrão de nomeação específico, muitas vezes incluindo palavras relacionadas a suporte técnico, notificações bancárias ou transações financeiras, como:

"Notifikasi_Bank_Bot" (Notificação Bancária)

"Layanan_Pelanggan2024" (Serviço ao Cliente)

"Konfirmasi_Transaksi" (Confirmação de Transação)

Esse padrão reflete um esforço dos operadores para disfarçar suas atividades e evitar a detecção por vítimas e por mecanismos automatizados de segurança.

Semelhanças com UdangaSteal:

A estrutura de ataque do Tria Stealer apresenta semelhanças com outra campanha anterior, UdangaSteal, que também teve como alvo a Indonésia e a Índia entre 2023 e 2024. Ambas as ameaças utilizaram mensagens enganosas e aplicativos maliciosos para comprometer vítimas e roubar informações. No entanto, até o momento, não há evidências concretas que vinculem os dois malwares ao mesmo grupo de ameaças.

Implicações de Segurança:

Além da exfiltração de dados, a capacidade do Tria Stealer de interceptar mensagens SMS representa um risco significativo para a segurança das vítimas. Isso permite que os operadores roubem códigos OTP enviados por bancos e serviços online, facilitando o comprometimento de contas financeiras.

Dado o uso generalizado do Telegram para C2, a detecção e a interrupção desses bots se tornam essenciais para conter a propagação do malware. Monitoramento contínuo e a implementação de soluções avançadas de segurança são fundamentais para proteger usuários e empresas contra ataques baseados nessa técnica.

 

VIVI MOREIRA – RÁDIO ROTA 220

Vivi Moreira é Compositora, Produtora, designer, toca violão, master chef nas horas vagas, idealizadora da Rádio Rota 220 e Rock Fusion Produções. Escreve sobre música e entrevista artista, produtores e jornalistas no canal do youtube e é uma amante da arte e tecnologia.

@radiorota220oficial