Los adversarios abusan cada vez más de Telegram como un sistema de "comando y control" para distribuir malware en organizaciones que luego podrían usarse para capturar información confidencial de sistemas específicos.
"Incluso cuando Telegram no está instalado o en uso, el sistema permite a los piratas informáticos enviar comandos y operaciones maliciosas de forma remota a través de la aplicación de mensajería instantánea", dijeron investigadores de la firma de ciberseguridad Check Point, que han identificado no menos de 130 ataques en los últimos tres meses. que utilizan un nuevo troyano multifuncional de acceso remoto (RAT) llamado "ToxicEye".
El uso de Telegram para facilitar actividades maliciosas no es nuevo. En septiembre de 2019, se descubrió que un ladrón de información apodado Masad Stealer saqueaba información y datos de billeteras de criptomonedas de computadoras infectadas utilizando Telegram como canal de exfiltración. Luego, el año pasado, los grupos de Magecart adoptaron la misma táctica para enviar detalles de pago robados de sitios web comprometidos a los atacantes.
La estrategia también da sus frutos de varias formas. Para empezar, Telegram no solo no está bloqueado por los motores antivirus empresariales, la aplicación de mensajería también permite a los atacantes permanecer en el anonimato, dado que el proceso de registro solo requiere un número de teléfono móvil, lo que les da acceso a dispositivos infectados desde prácticamente cualquier lugar del mundo.
La última campaña detectada por Check Point no es diferente. Difundido a través de correos electrónicos de phishing incrustados con un archivo ejecutable de Windows malicioso, ToxicEye usa Telegram para comunicarse con el servidor de comando y control (C2) y cargar datos en él. El malware también tiene una variedad de exploits que le permiten robar datos, transferir y eliminar archivos, terminar procesos, implementar un registrador de teclas, secuestrar el micrófono y la cámara de la computadora para grabar audio y video, e incluso cifrar archivos para obtener un rescate.
Específicamente, la cadena de ataque comienza con la creación de un bot de Telegram por parte del atacante, que luego se incrusta en el archivo de configuración de RAT, antes de compilarlo en un ejecutable (por ejemplo, "paypal checker by saint.exe"). Este archivo .EXE luego se inyecta en un documento de señuelo de Word ("solution.doc") que, cuando se abre, descarga y ejecuta Telegram RAT ("C: \ Users \ ToxicEye \ rat.exe").
"Hemos descubierto una tendencia creciente en la que los autores de malware utilizan la plataforma Telegram como un sistema de comando y control listo para usar para la distribución de malware en las organizaciones", dijo Idan Sharabi, gerente del grupo de I + D de Check Point. "Creemos que los atacantes están aprovechando el hecho de que Telegram se usa y se permite en casi todas las organizaciones, utilizando este sistema para realizar ataques cibernéticos, que pueden eludir las restricciones de seguridad".
Pene
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarComes troleado jajkaka
ResponderEliminar