Check Point Research, la división de Inteligencia de
Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder de soluciones
de ciberseguridad a nivel mundial, advierte de una
creciente ciberamenaza en la que se utiliza Telegram, la
app de mensajería instantánea con más de 500 millones de
usuarios activos, como sistema de control para distribuir
malware por las empresas. Permite a los
ciberdelincuentes enviar comandos y operaciones maliciosas
de forma remota a través de la aplicación de mensajería
instantánea, incluso cuando Telegram no está instalado o
no se utiliza.
Telegram, la plataforma de mensajería instantánea basada
en la nube, ha aumentado su popularidad este año debido a
los polémicos cambios en la configuración de privacidad de
su rival, WhatsApp. Fue la aplicación más descargada
en todo el mundo en enero de 2021, con más de 63 millones
de instalaciones, y ha superado los 500 millones de
usuarios activos mensuales. No obstante, esta gran
fama también se extiende a la comunidad de
ciberdelincuentes. Los autores del malware utilizan
cada vez más Telegram como un sistema de mando y control
(C&C) hecho a medida para sus programas maliciosos, ya
que ofrece varias ventajas en comparación con la forma
convencional de distribución de malware a través de la
web.
CPR ha rastreado más de 130 ciberataques en los últimos
tres meses en los que se ha utilizado un troyano de acceso
remoto (RAT) denominado "ToxicEye". Un RAT es un tipo de
malware que proporciona al ciberdelincuente un control
remoto total sobre los sistemas. Los ciberdelincuentes
manejan ToxicEye a través de Telegram, comunicándose con
su servidor y extrayendo los datos de la víctima.
Finalmente, ToxicEye se propaga a través de correos
electrónicos de phishing que contienen un archivo .exe
malicioso. Una vez que el destinatario abre el archivo
adjunto, ToxicEye se instala en el PC de la víctima,
realizando una serie de exploits sin que ésta lo
sepa.
Peligros de la RAT de Telegram
Cada RAT que utiliza este método tiene sus propias
funcionalidades, pero CPR pudo identificar una serie de
capacidades clave que caracterizan a la mayoría de los de
los ataques observados:
-
Función de robo de datos: el
RAT puede localizar y robar contraseñas, información
del equipo, historial del navegador y cookies.
-
Control del sistema de archivos: a través del borrado y la transferencia de
archivos, o de la eliminación de procesos y el control
del administrador de tareas del ordenador.
-
Secuestro de E/S: la RAT puede
desplegar un keylogger, o grabar audio y vídeo del
entorno de la víctima a través del micrófono y la
cámara del equipo, o apropiarse del contenido del
portapapeles.
-
Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la
víctima.
Cadena de infección
-
Creación de una cuenta de Telegram y un bot
"Telegram" exclusivo. Una cuenta de bot de Telegram es una cuenta
remota especial en la que los usuarios pueden
interactuar mediante el chat de la app, o agregándolo
a grupos de la misma, o enviando peticiones
directamente desde el formulario de entrada
escribiendo el nombre de usuario del bot y una
consulta.
-
El bot (su identificación o token) se incorpora en el
fichero de configuración del RAT ToxicEye y se compila
en un fichero ejecutable.
-
El malware se propaga a través de campañas de spam
como un archivo adjunto de correo
electrónico. Un ejemplo de nombre de archivo encontrado por
CPR fue 'paypal checker by saint.exe'
-
La víctima abre el archivo adjunto malicioso que se
conecta a Telegram. Cualquier víctima infectada con este payload
malicioso puede ser atacada a través del bot de
Telegram, que conecta el dispositivo del usuario con
el C&C del ciberdelincuente a través de la
app.
-
El ciberdelincuente se hace con el control total
del dispositivo de la víctima y puede llevar a cabo una serie de actividades
maliciosas.
Por qué los ciberdelincuentes se centran en
Telegram
La última investigación de CPR revela una tendencia
creciente en la popularidad del malware fundamentado en
Telegram relacionada con el aumento del uso de este
servicio de mensajería en todo el mundo. Se han encontrado
docenas de nuevos tipos de malware basados en Telegram,
como amenazas en las herramientas de hacking en los
repositorios de GitHub. Los ciberdelincuentes encuentran
en Telegram una plataforma integral para realizar sus
ataques debido a una serie de ventajas que ofrece su
funcionamiento, como, por ejemplo:
-
Está desbloqueado: Telegram es
un servicio legítimo, fácil de usar y estable que no
lo bloquean los motores antivirus de las empresas, ni
las herramientas de gestión de la red.
-
Mantiene el anonimato: los
ciberdelincuentes pueden permanecer en el anonimato,
ya que el proceso de registro sólo requiere un número
de móvil.
-
Fácil extracción de datos: las
características únicas de comunicación de Telegram
hacen que los ciberdelincuentes puedan extraer los
datos de los ordenadores de las víctimas o transferir
nuevos archivos maliciosos a las unidades infectadas
de forma muy sencilla.
-
Desde cualquier lugar: Telegram
también permite utilizar los dispositivos móviles para
acceder a los ordenadores infectados desde casi
cualquier lugar del mundo.
"Hemos descubierto una tendencia creciente en la que se
está utilizando la plataforma de Telegram como un
sistema para la distribución de malware en las empresas
que recibe comandos y operaciones de forma remota,
incluso si Telegram no está instalado o no se utiliza.
El malware que los ciberdelincuentes emplearon en esta
ocasión se encuentra en lugares de fácil acceso como
Github. Creemos que están aprovechando el hecho de que
Telegram se utiliza de forma amplia en los entornos
corporativos, haciendo uso de este sistema para realizar
ciberataques, que pueden saltarse las restricciones de
seguridad", explica Idan Sharabi, director del grupo de
I+D de Check Point Software Technologies. "Pedimos tanto
a empresas como a los usuarios de Telegram que presten
especial atención a los correos electrónicos maliciosos
y a que sean más recelosos con los emails que incluyan
su nombre de usuario en el asunto, o con los que tengan
un lenguaje confuso o incorrecto. Dado que esta app
puede usarse para distribuir archivos maliciosos, o como
un canal de comando y control para malware en remoto,
esperamos que en el futuro se sigan desarrollando nuevos
ciberataques que se aprovechen de esta plataforma", concluye Sharabi.
Consejos de seguridad e inspección
-
Buscar un archivo llamado
C:\Users\ToxicEye\rat.exe: si este se encuentra en el ordenador, ha sido
infectado y se debe contactar inmediatamente con el
servicio de asistencia y borrar este archivo del
sistema.
-
Supervisar el tráfico generado desde los equipos de
la empresa hacia un C&C de Telegram: si se detecta dicho tráfico, y Telegram no está
instalado como solución empresarial, es un posible
indicador de peligro.
-
Cuidado con los archivos adjuntos que contienen
nombres de usuario: los correos electrónicos maliciosos suelen utilizar
el nombre del usuario en el asunto o en el nombre del
archivo adjunto. Ello indica que se trata de un email
sospechoso: es preciso borrarlo y no abrir nunca el
archivo adjunto ni responder al remitente.
-
Buscar destinatarios no incluidos en la
lista: si el destinatario del email no tiene un nombre, o
no está incluido en la base de datos, es un buen
indicio de que se trata de un email malicioso y/o de
un email de phishing.
-
Es importante fijarse en el lenguaje del correo
electrónico: las técnicas de ingeniería social están diseñadas
para aprovecharse de la naturaleza humana. Esto
incluye el hecho de que las personas son más propensas
a cometer errores cuando tienen prisa y se inclinan a
seguir las órdenes de las personas en posiciones de
autoridad. Los ataques de phishing suelen utilizar
estas técnicas para convencer a sus objetivos de que
ignoren sus posibles sospechas sobre un correo
electrónico y hagan clic en un enlace o abran un
archivo adjunto.
-
Implantar una solución antiphishing
automatizada: para minimizar el riesgo de ataques de phishing
dentro de una empresa, es necesario un software
antiphishing basado en IA que sea capaz de identificar
y bloquear este contenido en todos los servicios de
comunicación de la empresa (correo electrónico,
aplicaciones de productividad, etc.) y en todas las
plataformas (puestos de trabajo de los empleados,
dispositivos móviles, etc.). Esta cobertura integral
es necesaria ya que este contenido puede llegar a
través de cualquier medio, y los empleados pueden ser
más vulnerables a los ataques cuando utilizan
dispositivos móviles.
No hay comentarios.