Especialistas em segurança cibernética descobriram um trojan de acesso remoto (RAT) sofisticado chamado TgRat, agora direcionado a dispositivos Linux e controlado via o popular aplicativo de mensagens Telegram. Originalmente conhecido por atacar sistemas Windows, o TgRat foi modificado para operar em ambientes Linux, tornando-se uma ameaça significativa. O TgRat permite que cibercriminosos controlem remotamente as máquinas infectadas, exfiltrando dados e executando comandos. O controle é feito por meio de um bot no Telegram, utilizando a popularidade da plataforma para se disfarçar em ambientes corporativos.

Essa estratégia única permite que os atacantes enviem comandos de forma discreta para o sistema comprometido, dificultando a detecção da infecção pelos usuários. Ao infectar um sistema, o TgRat verifica se está rodando na máquina alvo comparando o hash do nome do computador com uma string específica incorporada em seu código. Se os valores não corresponderem, o malware se encerra automaticamente para evitar a detecção. Caso contrário, ele se conecta ao bot do Telegram e aguarda instruções dos operadores.

Uma vez conectado, o TgRat é capaz de realizar diversas atividades maliciosas, incluindo o download de arquivos, captura de telas e execução de comandos remotamente. Sua estrutura permite a execução de scripts completos através de uma única mensagem, aumentando sua eficiência e furtividade. O uso do Telegram como meio de comando e controle torna o TgRat particularmente difícil de detectar. O tráfego regular para os servidores do Telegram pode facilmente mascarar as comunicações maliciosas, complicando o trabalho das equipes de segurança de rede.