En los últimos tres meses hubo más de 130 ciberataques que han utilizado malware gestNormalionado a través de Telegram, incluso si no tienes instalada la app o no la estás utilizando, de acuerdo con Check Point Research.
El sistema permite enviar comandos y realizar operaciones maliciosas de forma remota a través de la app de mensajería instantánea,que tiene más de 500 millones de usuarios activos, aunque Telegram no esté instalado o no se esté utilizando.
Telegram, la plataforma de mensajería instantánea basada en la nube, aumentó su popularidad este año debido a los polémicos cambios en la configuración de privacidad de WhatsApp.
En enero de este año fue la aplicación más descargada en todo el mundo, con más de 63 millones de instalaciones, y ha superado los 500 millones de usuarios activos mensuales.
No obstante, este crecimiento también se extiende a la comunidad de ciberdelincuentes. Los autores del malware utilizan cada vez más Telegram como un sistema de mando y control hecho a medida para sus programas maliciosos, ya que ofrece varias ventajas en comparación con la forma convencional de distribución de malware a través de la web.
¿CÓMO FUNCIONA EL MALWARE?
Es un troyano de acceso remoto (RAT) denominado "ToxicEye". Un RAT es un tipo de malware que proporciona al ciberdelincuente un control remoto total sobre los sistemas.
Los ciberdelincuentes manejan ToxicEye a través de Telegram, comunicándose con su servidor y extrayendo los datos de la víctima.
Finalmente, ToxicEye se propaga a través de correos electrónicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la víctima, realizando una serie de exploits sin que ésta lo sepa.
PELIGROS DE LA RAT DE TELEGRAM
•Función de robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies
•Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador
•Puede grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles
•Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.
CADENA DE INFECCIÓN
1.Creación de una cuenta de Telegram y un bot "Telegram" exclusivo. Una cuenta de bot de Telegram es una cuenta remota especial en la que los usuarios pueden interactuar mediante el chat de la app, o agregándolos a grupos de la misma, o enviando peticiones directamente desde el formulario de entrada escribiendo el nombre de usuario del bot y una consulta.
2.El bot (su identificación o token) se incorpora en el fichero de configuración del RAT ToxicEye y se compila en un fichero ejecutable.
3.El malware se propaga a través de campañas de spam como un archivo adjunto de correo electrónico.
4.La víctima abre el archivo adjunto malicioso que se conecta a Telegram. Cualquier víctima infectada puede ser atacada a través del bot de Telegram, que conecta el dispositivo del usuario con el ciberdelincuente a través de la app.
5.El ciberdelincuente se hace con el control total del dispositivo de la víctima y puede llevar a cabo una serie de actividades maliciosas.
CJ