Cómo el malware RAT está usando Telegram para evitar la detección

Una figura oscura en una computadora portátil detrás de un teléfono inteligente con el logotipo de Telegram.
DANIEL CONSTANTE / Shutterstock.com

Telegram es una práctica aplicación de chat. ¡Incluso los creadores de malware creen que sí! ToxicEye es un programa de malware RAT que se suma a la red de Telegram y se comunica con sus creadores a través del popular servicio de chat.

Malware que chatea en Telegram

A principios de 2021, decenas de usuarios dejaron WhatsApp por aplicaciones de mensajería que prometían una mejor seguridad de los datos después del anuncio de la compañía de que compartiría los metadatos del usuario con Facebook de forma predeterminada. Mucha de esa gente fue a las aplicaciones de la competencia Telegram y Signal.

Telegram fue la aplicación más descargada, con más de 63 millones de instalaciones en enero de 2021, según Sensor Tower. Los chats de Telegram no están encriptados de un extremo a otro como los chats de Signal , y ahora Telegram tiene otro problema: el malware.

La empresa de software Check Point descubrió recientemente que los malos actores están utilizando Telegram como canal de comunicación para un programa de malware llamado ToxicEye. Resulta que los atacantes pueden utilizar algunas de las funciones de Telegram para comunicarse con su malware más fácilmente que a través de herramientas basadas en la web. Ahora, pueden meterse con las computadoras infectadas a través de un conveniente chatbot de Telegram.

¿Qué es ToxicEye y cómo funciona?

ToxicEye es un tipo de malware llamado troyano de acceso remoto (RAT) . Las RAT pueden dar a un atacante el control de una máquina infectada de forma remota, lo que significa que pueden:

  • robar datos de la computadora host.
  • eliminar o transferir archivos.
  • matar los procesos que se ejecutan en la computadora infectada.
  • secuestrar el micrófono y la cámara de la computadora para grabar audio y video sin el consentimiento o conocimiento del usuario.
  • cifrar archivos para obtener un rescate de los usuarios.
Relacionado:  Cómo poner un círculo en el texto en Microsoft Word

ToxicEye RAT se propaga a través de un esquema de phishing en el que se envía un correo electrónico a un objetivo con un archivo EXE incrustado. Si el usuario objetivo abre el archivo, el programa instala el malware en su dispositivo.

Las RAT son similares a los programas de acceso remoto que, por ejemplo, alguien del soporte técnico podría usar para tomar el control de su computadora y solucionar un problema. Pero estos programas se infiltran sin permiso. Pueden imitar o esconderse con archivos legítimos, a menudo disfrazados como un documento o incrustados en un archivo más grande como un videojuego.

Cómo los atacantes están usando Telegram para controlar el malware

Ya en 2017, los atacantes han estado usando Telegram para controlar software malicioso a distancia. Un ejemplo notable de esto es el programa Masad Stealer que vació las criptomonedas de las víctimas ese año.

El investigador de Check Point, Omer Hofman, dice que la compañía ha encontrado 130 ataques ToxicEye utilizando este método desde febrero hasta abril de 2021, y hay algunas cosas que hacen que Telegram sea útil para los malos actores que propagan malware.

Por un lado, Telegram no está bloqueado por un software de firewall. Tampoco está bloqueado por herramientas de administración de red. Es una aplicación fácil de usar que muchas personas reconocen como legítima y, por lo tanto, bajan la guardia.

Registrarse en Telegram solo requiere un número de teléfono móvil, por lo que los atacantes pueden permanecer en el anonimato . También les permite atacar dispositivos desde su dispositivo móvil, lo que significa que pueden lanzar un ciberataque desde casi cualquier lugar. El anonimato hace que atribuir los ataques a alguien y detenerlos sea extremadamente difícil.

Relacionado:  Cómo comprobar la cantidad de almacenamiento de OneDrive que le queda

La cadena de infección

Así es como funciona la cadena de infección ToxicEye:

  1. El atacante primero crea una cuenta de Telegram y luego un “bot” de Telegram, que puede realizar acciones de forma remota a través de la aplicación.
  2. Ese token de bot se inserta en un código fuente malicioso.
  3. Ese código malicioso se envía como correo no deseado, que a menudo se disfraza como algo legítimo en lo que el usuario puede hacer clic.
  4. El archivo adjunto se abre, se instala en la computadora host y envía información al centro de comando del atacante a través del bot de Telegram.

Debido a que esta RAT se envía a través de correo electrónico no deseado, ni siquiera tiene que ser un usuario de Telegram para infectarse.

Mantenerse seguro

Si cree que pudo haber descargado ToxicEye, Check Point aconseja a los usuarios que busquen el siguiente archivo en su PC: C: \ Users \ ToxicEye \ rat.exe

Si lo encuentra en una computadora de trabajo, borre el archivo de su sistema y comuníquese con su mesa de ayuda de inmediato. Si está en un dispositivo personal, borre el archivo y ejecute un análisis de software antivirus de inmediato.

En el momento de redactar este artículo, a finales de abril de 2021, estos ataques solo se han descubierto en PC con Windows. Si aún no tiene un buen programa antivirus instalado, ahora es el momento de conseguirlo.

También se aplican otros consejos probados y verdaderos para una buena «higiene digital», como:

  • No abra archivos adjuntos de correo electrónico que parezcan sospechosos o que provengan de remitentes desconocidos.
  • Tenga cuidado con los archivos adjuntos que contienen nombres de usuario. Los correos electrónicos maliciosos a menudo incluirán su nombre de usuario en el asunto o el nombre de un archivo adjunto.
  • Si el correo electrónico intenta sonar urgente, amenazante o autoritario y lo presiona para que haga clic en un enlace / archivo adjunto o brinde información confidencial, probablemente sea malicioso.
  • Utilice un software anti-phishing si puede.
Relacionado:  Deje de escuchar los consejos de celebridades sobre criptografía (y todo lo demás)

El código Masad Stealer estuvo disponible en Github luego de los ataques de 2017. Check Point dice que ha llevado al desarrollo de una serie de otros programas maliciosos, incluido ToxicEye:

“Desde que Masad estuvo disponible en foros de piratería, decenas de nuevos tipos de malware que usan Telegram para [comando y control] y explotan las funciones de Telegram para actividades maliciosas, se han encontrado como armas ‘listas para usar’ en los repositorios de herramientas de piratería en GitHub. . «

Las empresas que usan el software harían bien en considerar cambiar a otra cosa o bloquearlo en sus redes hasta que Telegram implemente una solución para bloquear este canal de distribución.

Mientras tanto, los usuarios individuales deben mantener los ojos bien abiertos, ser conscientes de los riesgos y verificar sus sistemas con regularidad para erradicar las amenazas, y tal vez considerar cambiar a Signal en su lugar.