Telegram, nueva herramienta de la ciberdelincuencia para distribuir malware
Check Point Research advierte de una creciente ciberamenaza en la que se utiliza Telegram, la app de mensajería instantánea con más de 500 millones de usuarios activos, como sistema para distribuir malware de forma remota en una empresa.
Permite a los ciberdelincuentes enviar comandos y operaciones maliciosas de forma remota a través de la aplicación de mensajería instantánea, incluso cuando Telegram no está instalado o no se utiliza.
Telegram, la plataforma de mensajería instantánea basada en la nube, ha aumentado su popularidad este año debido a los polémicos cambios en la configuración de privacidad de su rival, WhatsApp.
Fue la aplicación más descargada en todo el mundo en enero de 2021, con más de 63 millones de instalaciones, y ha superado los 500 millones de usuarios activos mensuales. No obstante, esta gran fama también se extiende a la comunidad de ciberdelincuentes.
Los autores del malware utilizan cada vez más Telegram como un sistema de mando y control (C&C) hecho a medida para sus programas maliciosos, ya que ofrece varias ventajas en comparación con la forma convencional de distribución de malware a través de la web.
CPR ha rastreado más de 130 ciberataques en los últimos tres meses en los que se ha utilizado un troyano de acceso remoto (RAT) denominado ToxicEye. Un RAT es un tipo de malware que proporciona al ciberdelincuente un control remoto total sobre los sistemas. Los ciberdelincuentes manejan ToxicEye a través de Telegram, comunicándose con su servidor y extrayendo los datos de la víctima. Finalmente, ToxicEye se propaga a través de correos electrónicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la víctima, realizando una serie de exploits sin que ésta lo sepa.
Peligros de la RAT de Telegram
Cada RAT que utiliza este método tiene sus propias funcionalidades, pero CPR pudo identificar una serie de capacidades clave que caracterizan a la mayoría de los de los ataques observados:
– Función de robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies.
– Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador.
– Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles.
– Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.
Consejos de seguridad e inspección
– Buscar un archivo llamado C:UsersToxicEyerat.exe: si este se encuentra en el ordenador, ha sido infectado y se debe contactar inmediatamente con el servicio de asistencia y borrar este archivo del sistema.
– Supervisar el tráfico generado desde los equipos de la empresa hacia un C&C de Telegram: si se detecta dicho tráfico, y Telegram no está instalado como solución empresarial, es un posible indicador de peligro.
– Cuidado con los archivos adjuntos que contienen nombres de usuario: los correos electrónicos maliciosos suelen utilizar el nombre del usuario en el asunto o en el nombre del archivo adjunto. Ello indica que se trata de un email sospechoso: es preciso borrarlo y no abrir nunca el archivo adjunto ni responder al remitente.
– Buscar destinatarios no incluidos en la lista: si el destinatario del email no tiene un nombre, o no está incluido en la base de datos, es un buen indicio de que se trata de un email malicioso y/o de un email de phishing.
– Es importante fijarse en el lenguaje del correo electrónico: las técnicas de ingeniería social están diseñadas para aprovecharse de la naturaleza humana. Esto incluye el hecho de que las personas son más propensas a cometer errores cuando tienen prisa y se inclinan a seguir las órdenes de las personas en posiciones de autoridad.
Los ataques de phishing suelen utilizar estas técnicas para convencer a sus objetivos de que ignoren sus posibles sospechas sobre un correo electrónico y hagan clic en un enlace o abran un archivo adjunto.
– Implantar una solución antiphishing automatizada: para minimizar el riesgo de ataques de phishing dentro de una empresa, es necesario un software antiphishing basado en IA que sea capaz de identificar y bloquear este contenido en todos los servicios de comunicación de la empresa (correo electrónico, aplicaciones de productividad, etc.) y en todas las plataformas (puestos de trabajo de los empleados, dispositivos móviles, etc.).
Esta cobertura integral es necesaria ya que este contenido puede llegar a través de cualquier medio, y los empleados pueden ser más vulnerables a los ataques cuando utilizan dispositivos móviles.