Los hackers están utilizando Telegram como centro de actividad para desarrollar acciones maliciosas

Telegram
(Crédito de imagen: Telegram)

Los investigadores de seguridad han descubierto que la conocida plataforma de mensajería cifrada de extremo a extremo, Telegram, también se ha vuelto popular entre los creadores de amenazas informáticas.

En un nuevo informe original, Omer Hofman, de la compañía de ciberseguridad Check Point, explica que los creadores de malware utilizan cada vez más Telegram como sistema de mando y control (C&C) hecho a medida para desarrollar sus actividades maliciosas, ya que ofrece varias ventajas en comparación con la administración de malware tradicional a través de la web.

Sin embargo, resulta curioso que Telegram no sea la única herramienta de encriptación de marca blanca aprovechada por los autores de amenazas informáticas. Una investigación reciente de Sophos reveló que los promotores de malware están acudiendo cada vez más a protocolos de comunicación cifrada, así como a servicios legítimos en la nube como método para evitar que sean detectados.

Beneficios a nivel operativo

En su análisis, Hofman señala que Telegram fue utilizado por primera vez como sistema C&C de malware en 2017, por hackers de la cepa Masad. Se dice que este grupo fue el primero en darse cuenta de los beneficios de utilizar un servicio popular de mensajería instantánea como parte integral para llevar a cabo sus ataques.

Desde entonces, según Hofman, los investigadores han destapado docenas de cepas de malware que utilizan Telegram para desarrollar sus actividades maliciosas, como amenazas en las herramientas de hacking en los repositorios públicos de GitHub.

Durante los últimos tres meses, Check Point ha observado más de cien ataques que utilizan un nuevo troyano de acceso a distancia multifuncional (RAT) llamado ToxicEye, el cual se propaga a través de correos electrónicos de phishing a partir de los cuales los propios usuarios podrían ejecutar el malware.

ToxicEye también ha sido administrado por hackers a través de Telegram, el cual utiliza para comunicarse con el servidor de C&C y desviar los datos robados.

El análisis de Hofman sobre ToxicEye revela que sus autores han instalado un bot de Telegram en su archivo de configuración. De modo que cuando la víctima es infectada, el bot ayuda a conectar el dispositivo del usuario al C&C del atacante a través de Telegram.

Se ha observado que el bot roba datos, implementa un registro de teclas, graba audio y vídeo, e incluso puede funcionar como ransomware, cifrando archivos en el dispositivo de la víctima.

De forma preocupante, Hofman también ha señalado que el uso de Telegram para estos propósitos maliciosos no hará más que aumentar.

“Puesto que Telegram se puede utilizar para distribuir archivos maliciosos, o como canal de C&C para malware controlado a distancia, esperamos que se sigan desarrollando herramientas adicionales que protejan esta plataforma en el futuro”, concluye.

Telegram no ha respondido todavía a nuestra solicitud de declaraciones.

Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.