Ciberdelincuentes están utilizando Telegram para controlar un peligroso malware
Los ciberdelincuentes están aprovechando la popular aplicación de mensajería Telegram al incrustar su código dentro de un troyano de acceso remoto (RAT) denominado ToxicEye. Esto según se descubrió en una reciente investigación. La computadora de una víctima infectada con el malware ToxicEye se controla a través de una cuenta de mensajería de Telegram operada por un ciberdelincuente.
El malware ToxicEye puede hacerse cargo de los sistemas de archivos, instalar ransomware y filtrar datos de las PC´s de las víctimas. Esta información la revelaron investigadores de Check Point.
Check Point dijo que rastreó más de 130 ciberataques en los últimos tres meses que aprovecharon ToxicEye. ToxicEye ha estado siendo administrado por actores de amenazas a través de Telegram. Los atacantes utilizan el servicio de mensajería para comunicarse con su propio servidor y extraer datos a él, según un informe publicado recientemente.
Aprovechando la popularidad de Telegram
Es probable que los ciberdelincuentes hayan apuntado a Telegram, que tiene más de 500 millones de usuarios activos en todo el mundo, por su renombre. Están usando Telegram como su plataforma de distribución debido a su uso generalizado y popularidad.
“Creemos que los atacantes están aprovechando el hecho de que Telegram se usa y se permite en casi todas las organizaciones. Están utilizando este sistema para realizar ataques cibernéticos, que pueden eludir las restricciones de seguridad”.
Idan Sharabi, gerente de investigación y desarrollo de Check Point.
Los investigadores señalan que Telegram, que se conoce como un servicio de mensajería seguro y privado, se ha vuelto aún más popular durante la pandemia y especialmente en los últimos meses. Eso se debe a que las nuevas políticas de privacidad y administración de datos instituidas por WhatsApp generan preocupación entre los usuarios. Los cambios en WhatsApp han empujado a los usuarios por millones a plataformas de mensajería alternativas como Telegram.
Esta creciente base de usuarios de Telegram ha llevado a un aumento correspondiente por parte de los atacantes. Estos envían a la plataforma de Telegram una gran cantidad de malware común, según informan los investigadores. Según Check Point, también se han detectado docenas de muestras de malware “listas para usar” dirigidas a usuarios de Telegram.
Los investigadores afirman que Telegram es una forma ideal de ocultar dicha actividad porque no está bloqueada por protecciones antivirus. Esta permite a los atacantes permanecer en el anonimato, porque requiere solo un número de teléfono móvil para registrarse. La aplicación también permite a los atacantes extraer fácilmente datos de las PC´s de las víctimas o transferir nuevos archivos maliciosos a las máquinas infectadas. Esto debido a su infraestructura de comunicaciones, y porque se puede hacer de forma remota desde cualquier lugar del mundo.
Cadena de infección
Los ataques RAT de Telegram comienzan cuando los actores de amenazas crean una cuenta de Telegram y un bot de Telegram dedicado, o una cuenta remota. La cuenta les permite interactuar con otros usuarios de varias maneras, incluso para chatear, agregar personas a grupos o enviar solicitudes. Ellos pueden realizar estas acciones directamente desde el campo de entrada escribiendo el nombre de usuario de Telegram del bot y una consulta.
Luego, los atacantes agrupan el token del bot con el RAT u otro malware elegido. Y, lo propagan a través de campañas de spam basadas en correo electrónico como un archivo adjunto de correo electrónico. Por ejemplo, los investigadores observaron que los atacantes propagaban malware a través de un archivo llamado “paypal checker by saint.exe”.
Una vez que la víctima abre el archivo adjunto malicioso, se conecta a Telegram y deja la máquina vulnerable a un ataque remoto a través del bot de Telegram. El bot usa el servicio de mensajería para conectar el dispositivo de la víctima al servidor de comando y control de los atacantes, según el informe. Los atacantes posteriores a la infección obtienen el control total sobre la máquina de la víctima. Posteriormente pueden participar en una variedad de actividades nefastas.
En los ataques que observó Check Point, se utilizó el RAT ToxicEye para localizar y robar contraseñas. El malware también permite robar información de la computadora, historial del navegador y cookies de los dispositivos de las personas. Además, permite eliminar y transferir archivos o matar procesos de PC, así como hacerse cargo del administrador de tareas de una PC. También permite desplegar un keylogger o grabar audio y video de los alrededores de la víctima, así como robar el contenido del portapapeles. Y, por si fuera poco, permite utilizar ransomware para cifrar y descifrar los archivos de las víctimas.
Identificación y mitigación
Check Point dijo que la indicación de infección en las PC es la presencia de un archivo llamado “rat.exe” ubicado dentro del directorio C:\Users\ToxicEye\rat[.]exe
.
Las organizaciones también deben monitorear el tráfico generado desde las PC a las cuentas de Telegram. Esto cuando la aplicación deTelegram no está instalada en los sistemas en cuestión.
Los investigadores recomiendan fomentar la hipervigilancia cuando se trata de analizar los correos electrónicos. Los destinatarios siempre deben verificar la línea del destinatario de un correo electrónico que parezca sospechoso antes de interactuar con él, dijo Check Point. Si no hay un destinatario nombrado o si el destinatario no figura en la lista o no se muestra, esto probablemente indica que el correo electrónico es un mensaje malicioso o de suplantación de identidad.