Ciberdelincuentes utilizan Telegram para distribuir malware, aunque la app no esté instalada

Check Point Research advierte de una ciberamenaza en la que se utiliza Telegram como sistema para distribuir malware de forma remota en una empresa.

Check Point Research, la divisi√≥n de Inteligencia de Amenazas Check Point¬ģ Software Technologies Ltd. (NASDAQ: CHKP), proveedor l√≠der de soluciones de ciberseguridad a nivel mundial, advierte de una creciente ciberamenaza en la que se utiliza Telegram, la app de mensajer√≠a instant√°nea con m√°s de 500 millones de usuarios activos, como sistema de control para distribuir malware por las empresas.  Permite a los ciberdelincuentes enviar comandos y operaciones maliciosas de forma remota a trav√©s de la aplicaci√≥n de mensajer√≠a instant√°nea, incluso cuando Telegram no est√° instalado o no se utiliza. 

Telegram, la plataforma de mensajer√≠a instant√°nea basada en la nube, ha aumentado su popularidad este a√Īo debido a los pol√©micos cambios en la configuraci√≥n de privacidad de su rival, WhatsApp.  Fue la aplicaci√≥n m√°s descargada en todo el mundo en enero de 2021, con m√°s de 63 millones de instalaciones, y ha superado los 500 millones de usuarios activos mensuales.  No obstante, esta gran fama tambi√©n se extiende a la comunidad de ciberdelincuentes.  Los autores del malware utilizan cada vez m√°s Telegram como un sistema de mando y control (C&C) hecho a medida para sus programas maliciosos, ya que ofrece varias ventajas en comparaci√≥n con la forma convencional de distribuci√≥n de malware a trav√©s de la web.  

CPR ha rastreado m√°s de 130 ciberataques en los √ļltimos tres meses en los que se ha utilizado un troyano de acceso remoto (RAT) denominado “ToxicEye”. Un RAT es un tipo de malware que proporciona al ciberdelincuente un control remoto total sobre los sistemas. Los ciberdelincuentes manejan ToxicEye a trav√©s de Telegram, comunic√°ndose con su servidor y extrayendo los datos de la v√≠ctima. Finalmente, ToxicEye se propaga a trav√©s de correos electr√≥nicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la v√≠ctima, realizando una serie de exploits sin que √©sta lo sepa. 

Peligros de la RAT de Telegram 

Cada RAT que utiliza este m√©todo tiene sus propias funcionalidades, pero CPR pudo identificar una serie de capacidades clave que caracterizan a la mayor√≠a de los de los ataques observados:  

  • Funci√≥n de robo de datos: el RAT puede localizar y robar contrase√Īas, informaci√≥n del equipo, historial del navegador y cookies.
  • Control del sistema de archivos: a trav√©s del borrado y la transferencia de archivos, o de la eliminaci√≥n de procesos y el control del administrador de tareas del ordenador.
  • Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y v√≠deo del entorno de la v√≠ctima a trav√©s del micr√≥fono y la c√°mara del equipo, o apropiarse del contenido del portapapeles.
  • Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la v√≠ctima.  

Cadena de infección

  1. Creaci√≥n de una cuenta de Telegram y un bot “Telegram” exclusivo. Una cuenta de bot de Telegram es una cuenta remota especial en la que los usuarios pueden interactuar mediante el chat de la app, o agreg√°ndolos a grupos de la misma, o enviando peticiones directamente desde el formulario de entrada escribiendo el nombre de usuario del bot y una consulta.
  2. El bot (su identificación o token) se incorpora en el fichero de configuración del RAT ToxicEye y se compila en un fichero ejecutable.
  3. El malware se propaga a trav√©s de campa√Īas de spam como un archivo adjunto de correo electr√≥nico. Un ejemplo de nombre de archivo encontrado por CPR fue ‘paypal checker by saint.exe’
  4. La víctima abre el archivo adjunto malicioso que se conecta a Telegram. Cualquier víctima infectada con este payload malicioso puede ser atacada a través del bot de Telegram, que conecta el dispositivo del usuario con el C&C del ciberdelincuente a través de la app.
  5. El ciberdelincuente se hace con el control total del dispositivo de la víctima y puede llevar a cabo una serie de actividades maliciosas.

Por qué los ciberdelincuentes se centran en Telegram

La √ļltima investigaci√≥n de CPR revela una tendencia creciente en la popularidad del malware fundamentado en Telegram relacionada con el aumento del uso de este servicio de mensajer√≠a en todo el mundo. Se han encontrado docenas de nuevos tipos de malware basados en Telegram, como amenazas en las herramientas de hacking en los repositorios de GitHub. Los ciberdelincuentes encuentran en Telegram una plataforma integral para realizar sus ataques debido a una serie de ventajas que ofrece su funcionamiento, como, por ejemplo:

  • Est√° desbloqueado: Telegram es un servicio leg√≠timo, f√°cil de usar y estable que no lo bloquean los motores antivirus de las empresas, ni las herramientas de gesti√≥n de la red.
  • Mantiene el anonimato: los ciberdelincuentes pueden permanecer en el anonimato, ya que el proceso de registro s√≥lo requiere un n√ļmero de m√≥vil.
  • F√°cil extracci√≥n de datos: las caracter√≠sticas √ļnicas de comunicaci√≥n de Telegram hacen que los ciberdelincuentes puedan extraer los datos de los ordenadores de las v√≠ctimas o transferir nuevos archivos maliciosos a las unidades infectadas de forma muy sencilla.
  • Desde cualquier lugar: Telegram tambi√©n permite utilizar los dispositivos m√≥viles para acceder a los ordenadores infectados desde casi cualquier lugar del mundo.

“Hemos descubierto una tendencia creciente en la que se est√° utilizando la plataforma de Telegram como un sistema para la distribuci√≥n de malware en las empresas que recibe comandos y operaciones de forma remota, incluso si Telegram no est√° instalado o no se utiliza. El malware que los ciberdelincuentes emplearon en esta ocasi√≥n se encuentra en lugares de f√°cil acceso como Github. Creemos que est√°n aprovechando el hecho de que Telegram se utiliza de forma amplia en los entornos corporativos, haciendo uso de este sistema para realizar ciberataques, que pueden saltarse las restricciones de seguridad‚ÄĚ, explica Idan Sharabi, director del grupo de I+D de Check Point Software Technologies. ‚ÄúPedimos tanto a empresas como a los usuarios de Telegram que presenten especial atenci√≥n a los correos electr√≥nicos maliciosos y a que sean m√°s recelosos con los emails que incluyan su nombre de usuario en el asunto, o con los que tengan un lenguaje confuso o incorrecto. Dado que esta app puede usarse para distribuir archivos maliciosos, o como un canal de comando y control para malware en remoto, esperamos que en el futuro se sigan desarrollando nuevos ciberataques que se aprovechen de esta plataforma”, concluye Sharabi.

Consejos de seguridad e inspección

  • Buscar un archivo llamado C:\Users\ToxicEye\rat.exe: si este se encuentra en el ordenador, ha sido infectado y se debe contactar inmediatamente con el servicio de asistencia y borrar este archivo del sistema.¬†¬†
  • Supervisar el tr√°fico generado desde los equipos de la empresa hacia un C&C de Telegram: si se detecta dicho tr√°fico, y Telegram no est√° instalado como soluci√≥n empresarial, es un posible indicador de peligro.
  • Cuidado con los archivos adjuntos que contienen nombres de usuario: los correos electr√≥nicos maliciosos suelen utilizar el nombre del usuario en el asunto o en el nombre del archivo adjunto. Ello indica que se trata de un email sospechoso: es preciso borrarlo y no abrir nunca el archivo adjunto ni responder al remitente.
  • Buscar destinatarios no incluidos en la lista: si el destinatario del email no tiene un nombre, o no est√° incluido en la base de datos, es un buen indicio de que se trata de un email malicioso y/o de un email de phishing.
  • Es importante fijarse en el lenguaje del correo electr√≥nico: las t√©cnicas de ingenier√≠a social est√°n dise√Īadas para aprovecharse de la naturaleza humana. Esto incluye el hecho de que las personas son m√°s propensas a cometer errores cuando tienen prisa y se inclinan a seguir las √≥rdenes de las personas en posiciones de autoridad. Los ataques de phishing suelen utilizar estas t√©cnicas para convencer a sus objetivos de que ignoren sus posibles sospechas sobre un correo electr√≥nico y hagan clic en un enlace o abran un archivo adjunto.
  • Implantar una soluci√≥n antiphishing automatizada: para minimizar el riesgo de ataques de phishing dentro de una empresa, es necesario un software antiphishing basado en IA que sea capaz de identificar y bloquear este contenido en todos los servicios de comunicaci√≥n de la empresa (correo electr√≥nico, aplicaciones de productividad, etc.) y en todas las plataformas (puestos de trabajo de los empleados, dispositivos m√≥viles, etc.). Esta cobertura integral es necesaria ya que este contenido puede llegar a trav√©s de cualquier medio, y los empleados pueden ser m√°s vulnerables a los ataques cuando utilizan dispositivos m√≥viles.



Contacto | Diario TI es una publicación de MPA Publishing International Ltd.