Detectan bot malicioso en Telegram
La empresa de ciberseguridad Forcepoint dio a conocer que se detectó un software malicioso (malware), el cual utiliza la red de mensajería instantánea Telegram para propagarse.
El programa malicioso tiene una infraestructura de Comando y Control (C2) que por lo regular es empleado por el Telegram Bot API para las comunicaciones, por lo que Forcepoint ya envió un aviso a los administradores del servicio de mensajería para evitar su propagación.
El malware fue detectado mediante una investigación que se concentraba en una pieza de software malicioso que es capaz de espiar los mensajes en tránsito, además de recuperar el hilo de los mensajes enviados o recibidos por el bot que es objetivo del ataque.
“Debido a la manera en que funciona el Bot API, todos los mensajes de bots anteriores pueden enviarse otra vez por un adversario que es capaz de interceptar y desencriptar el tráfico HTTPS.
En la práctica, esto puede proporcionarle al adversario el historial completo de todos los mensajes enviados o recibidos por el bot objetivo. Esto a menudo incluye mensajes entre usuarios humanos regulares ya que los bots comparten con frecuencia un chat grupal con ellos”, señaló Forcepoint en un comunicado.
El aviso sobre la presencia de este software malicioso ocurre después de que Telegram enviara un mensaje a sus usuarios en el que anuncia mejoras en los chats grupales, tales como la posibilidad de deshacer la eliminación de chats en la versión 5.2, o las restricciones para que no se puedan publicar determinados tipos de contenido.
El malware detectado permitió a los investigadores seguir los pasos de los desarrolladores del mismo desde su creación hasta su despliegue, esto debido a que no existe la separación suficiente entre la víctima y el atacante como para que no se pueda identificar, relativamente rápido.
“Una pieza particular de malware demostró ser un caso de estudio excelente de por qué esto es peligroso, especialmente debido a que el creador de la amenaza no tiene la separación necesaria entre sus pruebas/desarrollo y los entornos operativos.
“Esto nos permitió seguir sus primeros pasos hacia la creación y despliegue del malware hasta las campañas actuales en la forma de comunicaciones hacia y desde las víctimas y las máquinas de prueba”, destacó la compañía.
Los atacantes emplearon la explotación Ethernal Blue para infectar a las máquinas no parchadas con ésta, por lo que además de tener un equipo actualizado, los expertos de Forcepoint Security Labs recomiendan a los usuarios evitar los Telegram bots y los canales grupales con bots.
NTX/RAM/MAG