Gracias al reciente cambio de políticas de WhatsApp, otras aplicaciones de mensajería instantánea se han beneficiado con el aumento de usuarios nuevos. Una de ellas es Telegram, que ha sido la app más descargada durante enero de 2021, contando con más de 500 millones de usuarios activos al mes. Sin embargo, debido a su protocolo de comunicación y a las diversas herramientas que dispone, ha sido usado para el despliegue y control de malware y herramientas de robo de datos (C&C). ToxicEye es el nombre del nuevo malware que está siendo controlado a través de la infraestructura de Telegram.
Para tener una cuenta nueva en Telegram sólo es necesario un número de teléfono. A partir de allí se puede hacer uso de una de las más elegantes características, los Bots de Telegram, que permiten automatizar tareas a los usuarios, como por ejemplo, mostrar imágenes relacionadas con una palabra ingresada, crear encuestas, buscar stickers, crear recordatorios, entre otros.
El identificador del bot luego puede ser insertado dentro de un código malicioso para conectarse a Telegram y ejecutar las acciones programadas. Lo que resta es generar un archivo que luzca inofensivo y que contenga las instrucciones para desplegar un ataque sobre el computador de la víctima una vez sea abierto.
Imagen: Hacker News.
Lo cierto es que no es la primera vez que Telegram es usado para este tipo de fines. Recientemente se han presentado escenarios como estos:
2019 - Se usó Telegram para cambiar cadenas de datos de billeteras virtuales relacionadas con criptomonedas y datos bancarios de la víctima. Se logró mediante la instalación de cracks de videojuegos y software descargados de páginas de anuncios y sitios web de terceros.
2020 - Atacantes insertaron código malicioso dentro de los metadatos de las imágenes en sitios web de comercio electrónico, llevando a la víctima a otro sitio web y robando los datos de pago.
ToxicEye puede ser usado para perpetrar ataques de diferentes tipos, como por ejemplo:
- Terminar procesos del sistema operativo
- Extraer información
- Tomar control del micrófono y la cámara para grabaciones
- Borrar y transferir datos sensibles
- Cifrar documentos y archivos para cobrar rescates (Ransomware)
Si crees que pudiste ser hackeado, lo mejor es revisar dentro de Windows si existe la ubicación C:\Users\ToxicEye\rat.exe. En este caso deberás contactarte con un profesional de seguridad informática que te ayudará a eliminar permanentemente este directorio de tu sistema.
Estos ataques de Scam facilitan a los perpetradores no tener que usar infraestructura propia para recibir las peticiones de datos hechas desde los terminales de las víctimas, ya que los dominios pueden ser fácilmente denegados por aplicaciones de anti-malware. Pero en este caso, Telegram no es detectado por analizadores de redes como software malicioso y además los atacantes reciben notificaciones a través de la aplicación cuando los intentos de robo han sido exitosos.
Si eres administrador de sistemas, no está de más realizar análisis de red en busca de cabeceras de Telegram (si no es usada como herramienta empresarial, puedes sospechar), así como tomar precauciones adicionales con los usuarios para evitar ataques de Pishing; correos electrónicos mal redactados o visiblemente sospechosos no deben responderse y mucho menos abrir los archivos adjuntos que contienen, casi todos los ataques informáticos se desencadenan cuando el usuario es engañado y persuadido de abrir enlaces y documentos infectados; ingeniería social.
Fuente: Checkpoint Blog.
Si te gusta lo que leíste, puedes seguirnos en Facebook.