Malware utiliza rede do Mastodon para receber comandos

Mastodon sobre fogo

Um novo malware que já era conhecido desde 2018 encontra-se a voltar novamente ao ativo em força. Apelidado de “Vidar”, o malware tira proveito da rede social descentralizada Mastodon para enviar os comandos para potenciais vítimas.

De acordo com os investigadores da empresa de segurança Cyberint, o malware utiliza a rede social do Mastodon para receber os comandos, que normalmente são colocados na descrição dos perfis, e com vista a não levantar suspeitas.

Uma vez instalado no sistema das vítimas, o malware foca-se em roubar informações delicadas, como senhas, carteiras de criptomoedas, ficheiros que possam conter informação sensível nos nomes, credenciais do Windows e de emails.

O Vidar tira proveito da rede do Mastodon para receber os comandos. Através de contas na plataforma, em controlo dos atacantes, são enviados comandos para os sistemas das vitimas. O malware liga-se regularmente à plataforma, e especificamente às contas em controlo dos atacantes, para obter os comandos necessários.

Como a ligação é feita sobre uma plataforma aparentemente legitima, a maioria do software de segurança pode não identificar nada de “anormal” na mesma, já que seria apenas uma ligação regular à rede da Mastodon.

Segundo os investigadores, as contas em controlo dos atacantes são usadas para partilhar o IP que irá servir depois para o controlo remoto dos sistemas. O malware obtêm o IP da descrição do Mastodon, e automaticamente configura-se para ligar a esse IP. Desta forma os atacantes podem manter o sistema atualizado – na eventualidade de um servidor ficar inacessível, bastará enviar um novo comando para atualizar os dados.

Os investigadores apontam que este malware encontra-se a ser distribuído, sobretudo, através de canais do Telegram e de sites com conteúdo malicioso.