Los ciberdelincuentes utilizan Telegram distribuir malware por las empresas

  • Endpoint

Telegram

El sistema permite enviar comandos y realizar operaciones maliciosas de forma remota a través de la app, aunque no esté instalada o no se esté utilizando. Se han encontrado docenas de nuevos tipos de malware basados en Telegram, como amenazas en herramientas de hacking en GitHub.

Recomendados: 

Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar

Securizando el acceso a organizaciones en cualquier lugar Webinar

Anatomía del ataque a una cuenta privilegiada Leer

Con más de 500 millones de usuarios activos mensuales, la app de mensajería instantánea Telegram cuenta con una gran fama que también se extiende a la comunidad de ciberdelincuentes. Así lo indica que Check Point Research, que advierte de una creciente ciberamenaza en la que se utiliza Telegram como sistema de control para distribuir malware de forma remota en una empresa. El sistema permite enviar comandos y realizar operaciones maliciosas de forma remota a través de la app de mensajería instantánea, aunque Telegram no esté instalado o no se esté utilizando

La alerta ha saltado después de que Check Point Research rastreara más de 130 ciberataques que han utilizado malware gestionado a través de Telegram en los últimos tres meses. El malware, un troyano de acceso remoto (RAT) denominado "ToxicEye", proporciona al ciberdelincuente un control remoto total sobre los sistemas.

Los ciberdelincuentes manejan ToxicEye a través de Telegram, comunicándose con su servidor y extrayendo los datos de la víctima. Finalmente, ToxicEye se propaga a través de correos electrónicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la víctima, realizando una serie de exploits sin que ésta lo sepa.

Cualquier víctima infectada con este payload malicioso puede ser atacada a través del bot de Telegram, que conecta el dispositivo del usuario con el C&C del ciberdelincuente a través de la app. El ciberdelincuente se hace con el control total del dispositivo de la víctima y puede llevar a cabo una serie de actividades maliciosas. Check Point Research pudo identificar una serie de capacidades clave que caracterizan a la mayoría de los de los ataques observados:

· Función de robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies.

· Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador.

· Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles.

· Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.

La investigación revela una tendencia creciente en la popularidad del malware fundamentado en Telegram relacionada con el aumento del uso de este servicio de mensajería en todo el mundo. Se han encontrado docenas de nuevos tipos de malware basados en Telegram, como amenazas en las herramientas de hacking en los repositorios de GitHub.

"El malware que los ciberdelincuentes emplearon en esta ocasión se encuentra en lugares de fácil acceso como Github. Creemos que están aprovechando el hecho de que Telegram se utiliza de forma amplia en los entornos corporativos, haciendo uso de este sistema para realizar ciberataques, que pueden saltarse las restricciones de seguridad”, explica Idan Sharabi, director del grupo de I+D de Check Point Software Technologies. “Pedimos tanto a empresas como a los usuarios de Telegram que presenten especial atención s los correos electrónicos maliciosos y a que sean más recelosos con los emails que incluyan su nombre de usuario en el asunto, o con los que tengan un lenguaje confuso o incorrecto. Dado que esta app puede usarse para distribuir archivos maliciosos, o como un canal de comando y control para malware en remoto, esperamos que en el futuro se sigan desarrollando nuevas ciberataques que se aprovechen de esta plataforma".