Diario Informe

Cómo el malware RAT usa Telegram para evitar ser detectado

DANIEL CONSTANTE / Shutterstock.com

Telegram es una práctica aplicación de chat. ¡Los creadores de malware también lo creen! ToxicEye es un programa de malware RAT que transmite a través de la red Telegram, comunicándose con sus creadores a través del popular servicio de chat.

Índice de contenidos
  1. Malware chateando en Telegram
  2. ¿Qué es ToxicEye y cómo funciona?
  3. Cómo los atacantes usan Telegram para controlar el malware
  4. La cadena de infecciones
  5. Mantenerse a salvo

Malware chateando en Telegram

A principios de 2021, decenas de usuarios dejaron WhatsApp por aplicaciones de mensajería que prometían una mejor seguridad de los datos después de que la compañía anunció que compartiría los metadatos de los usuarios con Facebook de forma predeterminada. Muchas de estas personas han optado por las aplicaciones de la competencia Telegram y Signal.

Telegram fue la aplicación más descargada, con más de 63 millones de instalaciones en enero de 2021, según Sensor Tower. Los chats de Telegram no están cifrados de extremo a extremo como los chats de Signal, y ahora Telegram tiene otro problema: el malware.

Compañía de software Check Point Descubierto recientemente que los atacantes utilizan Telegram como canal de comunicación para un programa de malware llamado ToxicEye. Resulta que los atacantes pueden utilizar algunas de las funciones de Telegram para comunicarse con su malware más fácilmente que a través de herramientas basadas en la web. Ahora pueden interferir con las computadoras infectadas a través de un práctico chatbot de Telegram.

¿Qué es ToxicEye y cómo funciona?

ToxicEye es un tipo de malware llamado troyano de acceso remoto (RAT). Las RAT pueden proporcionar a un atacante el control de una máquina infectada de forma remota, lo que significa que pueden:

  • robar datos de la computadora host.
  • eliminar o transferir archivos.
  • matar los procesos que se ejecutan en la computadora infectada.
  • secuestra el micrófono y la cámara de tu computadora para grabar audio y video sin tu consentimiento o conocimiento.
  • cifrar archivos para extorsionar a los usuarios.

ToxicEye RAT se propaga a través de un esquema de phishing en el que se envía un correo electrónico con un archivo EXE incrustado a un objetivo. Si el usuario objetivo abre el archivo, el programa instala el malware en su dispositivo.

Las RAT son similares a los programas de acceso remoto que, por ejemplo, alguien del soporte técnico podría usar para tomar el control de su computadora y solucionar un problema. Pero estos programas se infiltran sin permiso. Pueden imitar o esconderse con archivos legítimos, a menudo disfrazados de documentos o incrustados en un archivo más grande, como un videojuego.

Cómo los atacantes usan Telegram para controlar el malware

En 2017, los atacantes usaban Telegram para controlar software malicioso de forma remota. Un ejemplo notable de esto es el Programa Masad Stealer que vació las billeteras criptográficas de las víctimas ese año.

El investigador de Check Point, Omer Hofman, dice que la compañía detectó 130 ataques ToxicEye usando este método desde febrero hasta abril de 2021, y hay algunas cosas que hacen que Telegram sea útil para los atacantes que propagan malware.

Por un lado, Telegram no está bloqueado por un software de firewall. Tampoco está bloqueado por herramientas de administración de red. Es una aplicación fácil de usar que muchas personas reconocen como legítima y, por lo tanto, bajan la guardia.

Registrarse en Telegram solo requiere un número de teléfono móvil, por lo que los atacantes pueden permanecer en el anonimato. También les permite atacar dispositivos desde su dispositivo móvil, lo que significa que pueden lanzar un ciberataque desde cualquier lugar. El anonimato hace que sea extremadamente difícil atribuir ataques a alguien y detenerlos.

La cadena de infecciones

Así es como funciona la cadena de infección ToxicEye:

  1. El atacante primero crea una cuenta de Telegram y luego un archivo Telegram "bot", que puede realizar acciones de forma remota a través de la aplicación.
  2. El token del bot se inyecta en el código fuente malicioso.
  3. Ese código malicioso se envía como correo electrónico no deseado, que a menudo se disfraza como algo legítimo en el que el usuario puede hacer clic.
  4. El archivo adjunto se abre, se instala en la computadora host y envía la información al centro de comando del atacante a través del bot de Telegram.

Dado que esta RAT se envía a través de correos electrónicos no deseados, ni siquiera tiene que ser un usuario de Telegram para infectarse.

Mantenerse a salvo

Si cree que ha descargado ToxicEye, Check Point recomienda a los usuarios que verifiquen el siguiente archivo en su PC: C: Users ToxicEye rat.exe

Si lo encuentra en una computadora de trabajo, elimine el archivo de su sistema y comuníquese con su mesa de ayuda de inmediato. Si está en un dispositivo personal, elimine el archivo y ejecute un análisis de software antivirus de inmediato.

En el momento de redactar este artículo, a finales de abril de 2021, estos ataques solo se han descubierto en PC con Windows. Si aún no ha instalado un buen programa antivirus, ahora es el momento de descargarlo.

También se aplican otros consejos probados para una buena "higiene digital", como:

  • No abra archivos adjuntos de correo electrónico que parezcan sospechosos y / o provengan de remitentes desconocidos.
  • Tenga cuidado con los archivos adjuntos que contienen nombres de usuario. Los correos electrónicos maliciosos suelen incluir su nombre de usuario en la línea de asunto o el nombre de un archivo adjunto.
  • Si el correo electrónico intenta sonar urgente, amenazante o autoritario y lo presiona para que haga clic en un enlace / archivo adjunto o proporcione información confidencial, probablemente sea malicioso.
  • Utilice un software anti-phishing si puede.

El código Masad Stealer estuvo disponible en Github luego de los ataques de 2017. Check Point afirma que condujo al desarrollo de varios otros programas maliciosos, incluido ToxicEye:

"Desde que Masad estuvo disponible en foros de piratería, decenas de nuevos tipos de malware están usando Telegram para [command and control] y explotando las capacidades de Telegram para actividades maliciosas, se han encontrado como armas "listas para usar" en los repositorios de herramientas de piratería en GitHub. "

Las empresas que utilizan el software harían bien en considerar cambiar a otra cosa o bloquearlas en sus redes hasta que Telegram implemente una solución para bloquear este canal de distribución.

Mientras tanto, los usuarios individuales deben mantener los ojos abiertos, ser conscientes de los riesgos y verificar regularmente sus sistemas para erradicar las amenazas y tal vez considerar cambiarse a Signal.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings