Especialistas en ciberseguridad reportan que un grupo de hacking está abusando de las funciones de Telegram para incrustar código malicioso dentro de un troyano de acceso remoto (RAT) identificado como ToxicEye. Acorde al reporte, los dispositivos infectados con ToxicEye pueden ser controlados a través de cuentas de Telegram operadas por los hackers.
Los expertos mencionan que este troyano puede tomar control de los sistemas de archivos, instalar malware de cifrado y extraer información confidencial de las computadoras de las víctimas. Los expertos de Check Point afirman haber rastreado al menos 130 intentos de ataque relacionados con ToxicEye durante los últimos 3 meses; estos ataques emplean la plataforma de mensajería para comunicarse con su propio servidor C&C y extraer datos confidenciales.
Idan Sharabi, miembro del equipo de Check Point a cargo de esta investigación, cree que los actores de amenazas escogieron Telegram para esta campaña maliciosa debido a la creciente popularidad de la plataforma, que ya cuenta con alrededor de 500 millones de usuarios activos en el mundo: “Creemos que los hackers están aprovechando el hecho de que Telegram es empleado de forma prácticamente generalizada, lo que facilita esquivar las principales restricciones de seguridad.”
Sobre el incremento en la popularidad de Telegram, los expertos señalan que esto se debe principalmente a los polémicos cambios en las políticas de WhatsApp, las cuales generaron gran preocupación entre los millones de usuarios de este servicio, quienes trataron de encontrar en Telegram una plataforma más amigable con su privacidad.
Desde la implementación de estos cambios, los expertos aseguran haber encontrado decenas de muestras de malware para usuarios de Telegram listas para comprometer millones de dispositivos móviles.
Sobre el troyano, los expertos señalan que un ataque comienza cuando los hackers crean cuentas en la plataforma, además de un bot que permite interactuar automáticamente con otros usuarios. Posteriormente los actores de amenazas agrupan el token del bot con el troyano o con cualquier otra variante de malware de su elección, propagando la infección a través de campañas de spam y de emails de phishing.
Una vez que el usuario objetivo abre el archivo adjunto malicioso, su dispositivo se conecta a Telegram y queda completamente expuesto a ataques remotos mediante el bot de los hackers. Si este escenario se completa con éxito los hackers pueden realizar toda clase de ataques posteriores. Este es un riesgo activo, aunque por fortuna su identificación es muy fácil. Acorde a los expertos, basta con identificar un archivo nombrado rat.exe en la ubicación C:\Users\ToxicEye\rat[.]exe para determinar si su sistema ha sido infectado.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad