Plataforma de Telegram abusada en campañas de malware "ToxicEye" - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Plataforma de Telegram abusada en campañas de malware «ToxicEye»

Hola de nuevo. Soy Eduardo Arroyo y hoy vamos a hablar sobre Plataforma de Telegram abusada en campañas de malware «ToxicEye»

Plataforma de Telegram abusada en campañas de malware «ToxicEye»

Incluso si la aplicación no está instalada o en uso, los actores de amenazas pueden usarla para difundir malware a través de campañas de correo electrónico y tomar el control de las máquinas de las víctimas, según una nueva investigación.

Los piratas informáticos están aprovechando la popular aplicación de mensajería Telegram al incrustar su código dentro de un troyano de acceso remoto (RAT) llamado ToxicEye, según una nueva investigación. La computadora de una víctima infectada con el malware ToxicEye se controla a través de una cuenta de mensajería de Telegram administrada por un hacker.

Malware ToxicEye puede tomar el control de los sistemas de archivos, instalar ransomware y filtrar datos de las PC de las víctimas, según investigadores de Check Point Software Technologies.

Descargue «La evolución del ransomware» para obtener información valiosa sobre las tendencias emergentes en medio de volúmenes de ataques en rápido crecimiento. ¡Haz clic arriba para perfeccionar tu inteligencia defensiva!

Check Point dijo que ha monitoreado más de 130 ataques cibernéticos en los últimos tres meses que han explotado ToxicEye, que fue ejecutado por amenazas en Telegram. Los atacantes utilizan el servicio de mensajería para comunicarse con su servidor y exfiltrar datos en él, según informe publicado Online el jueves.

Es probable que los piratas informáticos hayan apuntado a Telegram, que tiene más de 500 millones de usuarios activos en todo el mundo, como plataforma de distribución debido a su uso generalizado y popularidad, dijo Idan Sharabi, jefe de investigación y desarrollo de Check Point.

«Creemos que los atacantes se están aprovechando del hecho de que Telegram se usa y se permite en casi todas las organizaciones, utilizando este sistema para realizar ataques cibernéticos, que pueden eludir las restricciones de seguridad», dijo en un comunicado enviado por correo electrónico.

Los investigadores señalan que Telegram, conocido como un servicio de mensajería privado y seguro, se ha vuelto aún más popular durante la pandemia y especialmente en los últimos meses. Esto se debe a las nuevas políticas de privacidad y gestión de datos instituidas por WhatsApp que generan preocupación entre los usuarios y los empujan por millones a plataformas de mensajería alternativas como Telegram.

Esta creciente base de usuarios de Telegram ha llevado a una ola correspondiente de atacantes que atacan la plataforma Telegram con una gran cantidad de malware común, informan los investigadores. Según Check Point, también se han detectado docenas de muestras de malware «listas para usar» para los usuarios de Telegram.

Los investigadores dijeron que Telegram es una forma ideal de ocultar dicha actividad porque no está bloqueada por protecciones antivirus y permite a los atacantes permanecer en el anonimato, requiriendo solo un número de teléfono móvil para registrarse, anotaron los investigadores. La aplicación también permite a los atacantes extraer fácilmente datos de las PC de las víctimas o transferir nuevos archivos maliciosos a las máquinas infectadas debido a su infraestructura de comunicación y hacerlo de forma remota desde cualquier parte del mundo, dijeron.

Los ataques de Telegram RAT comienzan con la creación de una cuenta de Telegram y un bot de Telegram dedicado, o una cuenta remota que les permite interactuar con otros usuarios de varias formas, incluyendo chatear, agregar personas a grupos o enviar solicitudes directamente desde el campo de entrada. el nombre de usuario de Telegram del bot y una consulta.

Luego, los atacantes agrupan el token del bot con el RAT u otro malware elegido y propagan el malware a través de campañas de spam basadas en correo electrónico como un archivo adjunto. Por ejemplo, los investigadores observaron que los atacantes estaban propagando malware a través de un archivo llamado «verificador de paypal saint.exe», dijeron.

Una vez que una víctima abre el archivo adjunto malicioso, se conecta a Telegram y deja la máquina vulnerable a un ataque remoto a través del bot de Telegram, que utiliza el servicio de mensajería para volver a conectar el dispositivo de la víctima al servidor de comando y control. Striker, según el informe. Los atacantes posteriores a la infección obtienen el control total sobre la máquina de la víctima y pueden participar en una variedad de actividades nefastas, dijeron los investigadores.

En los ataques observados por Check Point, se utilizó ToxicEye RAT para localizar y robar contraseñas, información de la computadora, historial del navegador y cookies de los dispositivos de las personas; eliminar y transferir archivos o terminar los procesos de la PC y tomar el control del administrador de tareas de la PC; distribuir un keylogger o grabar audio y video de los alrededores de la víctima y robar el contenido del portapapeles; y utiliza ransomware para cifrar y descifrar los archivos de las víctimas.

Check Point dijo que la indicación de infección en las PC es la presencia de un archivo llamado «rat.exe» ubicado en el directorio C: Users ToxicEye rat[.]EXE.

Las organizaciones también deben monitorear el tráfico generado por las PC a las cuentas de Telegram cuando la aplicación Telegram no está instalada en los sistemas en cuestión, dijeron los investigadores.

Los investigadores fomentan la hipervigilancia cuando se trata de revisar correos electrónicos. Los destinatarios siempre deben verificar la línea del destinatario de un correo electrónico que parezca sospechoso antes de interactuar con él, dijo Check Point. Si no hay un destinatario designado o el destinatario no aparece en la lista o no se revela, es probable que el correo electrónico sea un mensaje malicioso o de suplantación de identidad.

.

Puedes compartir en tu Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte