Investigadores de seguridad cibernética han descubierto
que la popularidad de Telegram como una plataforma de mensajería cifrada de
extremo a extremo también la ha hecho popular entre los Hackers.
En un nuevo informe, Omer Hofman de la compañía de
ciberseguridad Check Point explica que los creadores de malware utilizan cada
vez más Telegram como un sistema de comando y control (C&C) listo para usar
para sus actividades maliciosas, ya que ofrece varias ventajas en comparación
con la administración de malware convencional basada en la web. .
Curiosamente, Telegram no es la única aplicación con cifradode marca blanca que ha sido reutilizada por los actores de amenazas. Una
investigación reciente de Sophos reveló que los operadores de malware están
cambiando cada vez a mas protocolos de comunicación cifrados, así como a
servicios legítimos en la nube para evadir la detección.
(adsbygoogle = window.adsbygoogle || []).push({});
Beneficios operacionales para los Hackers
En su análisis, Hofman señala que Telegram fue utilizado por
primera vez como servidor C&C de malware en 2017, por operadores de la cepa
Masad. Se dice que este grupo fue el primero en darse cuenta de los beneficios
de usar un popular servicio de mensajería instantánea como parte integral de
ataques.
Desde entonces, dice Hofman, los investigadores han
descubierto docenas de cepas de malware que usan Telegram para ayudar con sus
actividades maliciosas. Sorprendentemente, estos se ofrecen en un estado listo
para armarse y están ocultos a la vista en los repositorios públicos de GitHub.
Durante los últimos tres meses, Check Point ha observado más
de cien ataques que utilizan un nuevo troyano de acceso remoto multifuncional
(RAT) llamado ToxicEye, que se propaga a través de correos electrónicos de
phishing que contienen un ejecutable malicioso.
ToxicEye también es administrado por atacantes a través de
Telegram, que utiliza para comunicarse con el servidor de C&C y desviar los
datos robados.
El análisis de Hofman de ToxicEye revela que sus autores han
incrustado un bot de Telegram en su archivo de configuración. Una vez que una
víctima ha sido infectada, el bot ayuda a conectar el dispositivo del usuario
al C&C del atacante a través de Telegram.
Se ha observado que el bot roba datos, implementa un
registrador de teclas, graba audio y video, e incluso se puede hacer que
funcione como ransomware, cifrando archivos en la máquina de la víctima.
De manera preocupante, Hofman señala que el uso de Telegram
para tales propósitos maliciosos solo aumentará.
“Dado que Telegram se puede utilizar para distribuir
archivos maliciosos, o como un canal de C&C para malware controlado de
forma remota, esperamos que se sigan desarrollando herramientas adicionales que
exploten esta plataforma en el futuro”, concluye.
Fuente: CheckPoint
