La aplicación de mensajería instantánea Telegram ha visto crecer su popularidad a raíz de los polémicos cambios en la configuración de privacidad de WhatsApp y ya cuenta con más de 500 millones de usuarios activos en todo el mundo. No obstante, su popularidad también se ha extendido a la comunidad de ciberdelincuentes.
Check Point Research (CPR), la división de Inteligencia de Amenazas de la compañía de ciberseguridad Check Point Software Technologies, ha advertido en un comunicado de una creciente amenaza que utiliza Telegram como sistema de control para distribuir malware por las empresas.
La alerta ha saltado después de que CPR rastreara más de 130 ciberataques en los últimos tres meses en los que se ha utilizado un troyano de acceso remoto (RAT) denominado ToxicEye. Un RAT es un tipo de malware que proporciona a los ciberdelincuentes un control remoto total sobre los sistemas y ToxicEye les permite enviar comandos y operaciones maliciosas de forma remota a través de Telegram, incluso cuando la aplicación no está instalada o no se utiliza.
"Los ciberdelincuentes manejan ToxicEye a través de Telegram, comunicándose con su servidor y extrayendo los datos de la víctima. Finalmente, ToxicEye se propaga a través de correos electrónicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la víctima, realizando una serie de exploits sin que ésta lo sepa", explica la firma de ciberseguridad.
Los peligros del RAT de Telegram
Aunque cada RAT que utiliza este método tiene sus propias funcionalidades, CPR pudo identificar una serie de capacidades clave que caracterizan a la mayoría de los de los ataques observados. Son las siguientes:
- Función de robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies.
- Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador.
- Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles.
- Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.
Cadena de infección
Según detalla CPR, el proceso de infección del troyano de acceso remoto ToxicEye consta de estas cinco fases:
- Creación de una cuenta de Telegram y un bot "Telegram" exclusivo. Una cuenta de bot de Telegram es una cuenta remota especial en la que los usuarios pueden interactuar mediante el chat de la app, o agregándolos a grupos de la misma, o enviando peticiones directamente desde el formulario de entrada escribiendo el nombre de usuario del bot y una consulta.
- El bot (su identificación o token) se incorpora en el fichero de configuración del RAT ToxicEye y se compila en un fichero ejecutable.
- El malware se propaga a través de campañas de spam como un archivo adjunto de correo electrónico. Un ejemplo de nombre de archivo encontrado por CPR fue 'paypal checker by saint.exe'
- La víctima abre el archivo adjunto malicioso que se conecta a Telegram. Cualquier víctima infectada con este payload malicioso puede ser atacada a través del bot de Telegram, que conecta el dispositivo del usuario con el C&C del ciberdelincuente a través de la app.
- El ciberdelincuente se hace con el control total del dispositivo de la víctima y puede llevar a cabo una serie de actividades maliciosas.
Los motivos del creciente interés de los ciberdelincuentes en Telegram
De acuerdo a la última investigacion de CPR, la creciente tendencia en la popularidad del malware fundamentado en Telegram está relacionada con el aumento del uso de este servicio de mensajería en todo el mundo. "Se han encontrado docenas de nuevos tipos de malware basados en Telegram, como amenazas en las herramientas de hacking en los repositorios de GitHub. Los ciberdelincuentes encuentran en Telegram una plataforma integral para realizar sus ataques debido a una serie de ventajas que ofrece su funcionamiento", subraya la compañía, que cita como ejemplo estos beneficios:
- Está desbloqueado: Telegram es un servicio legítimo, fácil de usar y estable que no lo bloquean los motores antivirus de las empresas, ni las herramientas de gestión de la red.
- Mantiene el anonimato: Los ciberdelincuentes pueden permanecer en el anonimato, ya que el proceso de registro sólo requiere un número de móvil.
- Fácil extracción de datos: Las características únicas de comunicación de Telegram hacen que los ciberdelincuentes puedan extraer los datos de los ordenadores de las víctimas o transferir nuevos archivos maliciosos a las unidades infectadas de forma muy sencilla.
- Desde cualquier lugar: Telegram también permite utilizar los dispositivos móviles para acceder a los ordenadores infectados desde casi cualquier lugar del mundo.
Consejos de seguridad e inspección
En su comunicado, la firma de ciberseguridad también ha ofrecido a los usuarios las siguientes recomendaciones de seguridad e inspección:
- Buscar un archivo llamado C:\Users\ToxicEye\rat.exe: Si este se encuentra en el ordenador, ha sido infectado y se debe contactar inmediatamente con el servicio de asistencia y borrar este archivo del sistema.
- Supervisar el tráfico generado desde los equipos de la empresa hacia un C&C de Telegram: Si se detecta dicho tráfico, y Telegram no está instalado como solución empresarial, es un posible indicador de peligro.
- Cuidado con los archivos adjuntos que contienen nombres de usuario: Los correos electrónicos maliciosos suelen utilizar el nombre del usuario en el asunto o en el nombre del archivo adjunto. Esto indica que se trata de un email sospechoso y es preciso borrarlo, y no abrir nunca el archivo adjunto ni responder al remitente.
- Buscar destinatarios no incluidos en la lista: Si el destinatario del e-mail no tiene un nombre, o no está incluido en la base de datos, es un buen indicio de que se trata de un email malicioso y/o de un email de phishing.
- Es importante fijarse en el lenguaje del correo electrónico: Las técnicas de ingeniería social están diseñadas para aprovecharse de la naturaleza humana. Esto incluye el hecho de que las personas son más propensas a cometer errores cuando tienen prisa y se inclinan a seguir las órdenes de las personas en posiciones de autoridad. Los ataques de phishing suelen utilizar estas técnicas para convencer a sus objetivos de que ignoren sus posibles sospechas sobre un correo electrónico y hagan clic en un enlace o abran un archivo adjunto.
- Implantar una solución antiphishing automatizada: Para minimizar el riesgo de ataques de phishing dentro de una empresa, es necesario un software antiphishing basado en IA que sea capaz de identificar y bloquear este contenido en todos los servicios de comunicación de la empresa (correo electrónico, aplicaciones de productividad, etc.) y en todas las plataformas (puestos de trabajo de los empleados, dispositivos móviles, etc.). Esta cobertura integral es necesaria ya que este contenido puede llegar a través de cualquier medio, y los empleados pueden ser más vulnerables a los ataques cuando utilizan dispositivos móviles.
Las conclusiones de CPR sobre esta creciente amenaza en Telegram
"Hemos descubierto una tendencia creciente en la que se está utilizando la plataforma de Telegram como un sistema para la distribución de malware en las empresas que recibe comandos y operaciones de forma remota, incluso si Telegram no está instalado o no se utiliza. El malware que los ciberdelincuentes emplearon en esta ocasión se encuentra en lugares de fácil acceso como Github. Creemos que están aprovechando el hecho de que Telegram se utiliza de forma amplia en los entornos corporativos, haciendo uso de este sistema para realizar ciberataques, que pueden saltarse las restricciones de seguridad", ha declarado Idan Sharabi, director del grupo de I+D de Check Point Software Technologies.
"Pedimos tanto a empresas como a los usuarios de Telegram que presenten especial atención a los correos electrónicos maliciosos y a que sean más recelosos con los emails que incluyan su nombre de usuario en el asunto, o con los que tengan un lenguaje confuso o incorrecto. Dado que esta app puede usarse para distribuir archivos maliciosos, o como un canal de comando y control para malware en remoto, esperamos que en el futuro se sigan desarrollando nuevas ciberataques que se aprovechen de esta plataforma", ha concluido Sharabi.