O Lado Sombrio do Telegram: Criminosos Cibernéticos Explorando a API de Bots para Exfiltração de Dados Discreta
Um relatório recente da Cofense revela que a funcionalidade de bots do Telegram está sendo explorada por criminosos cibernéticos para roubo de dados e como centros de Comando e Controle (C2). Ao abusar da API legítima do Telegram Bot, atacantes transformam contas automatizadas em ferramentas de exfiltração, enviando dados roubados diretamente para seus dispositivos.
MundiX News·13 de abril de 2026·5 min de leitura·👁 1 views
Milhões de usuários utilizam o Telegram para comunicação instantânea segura, mas a plataforma está revelando um lado sombrio na área de cibersegurança. Um relatório recente da Cofense indica que a funcionalidade de bots da plataforma está sendo frequentemente abusada por atacantes, tornando-se um centro de Comando e Controle (C2) eficiente para roubo de dados.
Ao usar a API legítima do Telegram Bot, criminosos cibernéticos transformam contas automatizadas simples em pontos de entrada para roubo de dados.
A rica API Web fornecida pelo Telegram foi originalmente projetada para ajudar os desenvolvedores a construir ferramentas automatizadas, mas essas funções também estão sendo exploradas por bots maliciosos, que podem enviar mensagens em chats privados e fazer upload de arquivos como screenshots e pacotes compactados de credenciais roubadas diretamente para os dispositivos dos atacantes.
Como o relatório aponta:
Os atacantes frequentemente usam bots do Telegram como um canal de exfiltração de dados, aproveitando interfaces de serviço legítimas e compatíveis.
Entre o primeiro trimestre de 2024 e o segundo trimestre de 2025, aproximadamente 3,8% de todas as campanhas de malware analisadas usaram o Telegram como sua principal infraestrutura de C2; para ataques de phishing de credenciais, essa porcentagem foi de 2,3%.
A vantagem dessa abordagem é sua forte discrição. Como o tráfego aponta para api.telegram.org, ele pode facilmente se misturar com o comportamento normal da rede, evitando a detecção básica de firewall.
Os atacantes geralmente abusam da API de três maneiras:
Chamadas diretas de script: scripts maliciosos nos hosts das vítimas iniciam diretamente solicitações HTTPS.
Phishing de credenciais: depois que as vítimas enviam informações em páginas de login falsas, as contas e senhas são enviadas imediatamente para o bot.
Alertas de intrusão: notificando os atacantes no momento em que as vítimas clicam em links maliciosos, monitorando os efeitos do ataque em tempo real.
Os dados exfiltrados não são apenas texto; os atacantes também usam frequentemente o método sendDocument para fazer upload de arquivos de até 50MB, que geralmente contêm capturas de tela e arquivos de texto contendo credenciais roubadas.
Para combater esse "abuso de interface legítima", as equipes de segurança precisam prestar atenção a características específicas da API. A maioria das solicitações maliciosas tem um formato fixo:
Os métodos de alto abuso que precisam ser monitorados de perto incluem:
sendMessage: usado para exfiltrar dados de texto e credenciais de conta
sendDocument: usado para fazer upload de arquivos roubados de grande capacidade
getFile: usado para atacantes baixarem arquivos de ambientes remotos
Se a empresa não usa bots do Telegram, o relatório recomenda tomar uma medida simples, mas eficaz:
Bloquear diretamente as solicitações da API do Telegram Bot e configurar regras de bloqueio para a interface api[.]telegram[.]org/bot.
Como sempre, a primeira linha de defesa continua sendo a conscientização de segurança do usuário. Contanto que os usuários não interajam com mensagens suspeitas, links incorporados ou arquivos maliciosos, nenhum bot pode roubar dados.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Milhões de usuários utilizam o Telegram para comunicação instantânea segura, mas a plataforma está revelando um lado sombrio na área de cibersegurança. Um relatório recente da Cofense indica que a funcionalidade de bots da plataforma está sendo frequentemente abusada por atacantes, tornando-se um centro de Comando e Controle (C2) eficiente para roubo de dados.
Ao usar a API legítima do Telegram Bot, criminosos cibernéticos transformam contas automatizadas simples em pontos de entrada para roubo de dados.
A rica API Web fornecida pelo Telegram foi originalmente projetada para ajudar os desenvolvedores a construir ferramentas automatizadas, mas essas funções também estão sendo exploradas por bots maliciosos, que podem enviar mensagens em chats privados e fazer upload de arquivos como screenshots e pacotes compactados de credenciais roubadas diretamente para os dispositivos dos atacantes.
Como o relatório aponta:
Os atacantes frequentemente usam bots do Telegram como um canal de exfiltração de dados, aproveitando interfaces de serviço legítimas e compatíveis.
Entre o primeiro trimestre de 2024 e o segundo trimestre de 2025, aproximadamente 3,8% de todas as campanhas de malware analisadas usaram o Telegram como sua principal infraestrutura de C2; para ataques de phishing de credenciais, essa porcentagem foi de 2,3%.
A vantagem dessa abordagem é sua forte discrição. Como o tráfego aponta para api.telegram.org, ele pode facilmente se misturar com o comportamento normal da rede, evitando a detecção básica de firewall.
Os atacantes geralmente abusam da API de três maneiras:
Chamadas diretas de script: scripts maliciosos nos hosts das vítimas iniciam diretamente solicitações HTTPS.
Phishing de credenciais: depois que as vítimas enviam informações em páginas de login falsas, as contas e senhas são enviadas imediatamente para o bot.
Alertas de intrusão: notificando os atacantes no momento em que as vítimas clicam em links maliciosos, monitorando os efeitos do ataque em tempo real.
Os dados exfiltrados não são apenas texto; os atacantes também usam frequentemente o método sendDocument para fazer upload de arquivos de até 50MB, que geralmente contêm capturas de tela e arquivos de texto contendo credenciais roubadas.
Para combater esse "abuso de interface legítima", as equipes de segurança precisam prestar atenção a características específicas da API. A maioria das solicitações maliciosas tem um formato fixo:
Os métodos de alto abuso que precisam ser monitorados de perto incluem:
sendMessage: usado para exfiltrar dados de texto e credenciais de conta
sendDocument: usado para fazer upload de arquivos roubados de grande capacidade
getFile: usado para atacantes baixarem arquivos de ambientes remotos
Se a empresa não usa bots do Telegram, o relatório recomenda tomar uma medida simples, mas eficaz:
Bloquear diretamente as solicitações da API do Telegram Bot e configurar regras de bloqueio para a interface api[.]telegram[.]org/bot.
Como sempre, a primeira linha de defesa continua sendo a conscientização de segurança do usuário. Contanto que os usuários não interajam com mensagens suspeitas, links incorporados ou arquivos maliciosos, nenhum bot pode roubar dados.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
