Check Point Research, líder mundial en soluciones de ciberseguridad, ha detectado una ciberamenaza en la que se utiliza la popular app de mensajería Telegram como medio para distribuir malware en una empresa de forma remota.
Permite a los ciberdelincuentes enviar comandos y operaciones maliciosas de forma remota a través de la aplicación de mensajería instantánea, incluso cuando Telegram no está instalado o no se utiliza.

CPR ha rastreado más de 130 ciberataques en los últimos tres meses en los que se ha utilizado un troyano de acceso remoto (RAT) denominado “ToxicEye”. Un RAT es un tipo de malware que proporciona al ciberdelincuente un control remoto total sobre los sistemas. Los ciberdelincuentes manejan ToxicEye a través de Telegram, comunicándose con su servidor y extrayendo los datos de la víctima. Finalmente, ToxicEye se propaga a través de correos electrónicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la víctima, realizando una serie de exploits sin que ésta lo sepa.

CPR pudo identificar una serie de capacidades clave que caracterizan a la mayoría de los de los ataques observados:

  • Robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies.
  • Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador.
  • Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles.
  • Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.

Según CPR los ciberdelincuentes encuentran en Telegram una plataforma integral para realizar sus ataques debido a una serie de ventajas que ofrece su funcionamiento:

  • Telegram es un servicio legítimo, fácil de usar y estable que no lo bloquean los motores antivirus de las empresas, ni las herramientas de gestión de la red.
  • Mantiene el anonimato: los ciberdelincuentes pueden permanecer en el anonimato, ya que el proceso de registro sólo requiere un número de móvil.
  • Fácil extracción de datos: las características únicas de comunicación de Telegram hacen que los ciberdelincuentes puedan extraer los datos de los ordenadores de las víctimas o transferir nuevos archivos maliciosos a las unidades infectadas de forma muy sencilla.
  • Universal: Telegram también permite utilizar los dispositivos móviles para acceder a los ordenadores infectados desde casi cualquier lugar del mundo.

Telegram, la plataforma de mensajería instantánea basada en la nube, ha aumentado su popularidad este año debido a los polémicos cambios en la configuración de privacidad de su rival, WhatsApp. Fue la aplicación más descargada en todo el mundo en enero de 2021, con más de 63 millones de instalaciones, y ha superado los 500 millones de usuarios activos mensuales.

Fuente: Diario IT