Telegram es un servicio de mensajería instantánea y mensajería de voz sobre IP basado en la nube. Las aplicaciones de Telegram se pueden descargar desde su página web para correrlas en Windows, macOS y GNU / Linux, o se pueden encontrar en las distintas “app stores” de sistemas operativos como Android o iOS.
Al Telegram ser un software disponible tanto en dispositivos móviles como de escritorio, no está absento de posibles ataques de cibercriminales. En esta ocasión, nuestro equipo de análisis e investigación, GReAT (por sus siglas en inglés), descubrió por medio de su monitoreo constante de amenazas en Latinoamérica, un programa de código malicioso que tiene como fecha de compilación el 19 de julio de 2020, en la que su comando y control se encuentra en la infraestructura de mensajería Telegram.
“Este ataque es difícil de detectar porque en la comunicación con el comando y control de la aplicación, todo aparece como si alguien utilizara el app como cualquier usuario, sin embargo, todos los comandos que recibe la víctima en el dispositivo infectado, provienen de la API de Telegram.” Dmitry Bestuzhev, Director de GReAT para Kaspersky Latinoamérica.
En esta muestra, los textos se encuentran codificados en el coding Base64 y a su vez se encuentran revertidos; esto quiere que para descifrarlo primero hay que revertir el órden y luego descifrar por el protocolo. Como consecuencia que los servicios de scanner que utilizan distintos analistas por medio de sus herramientas de análisis, no puedan de manera automática decodificar los textos.
Actualmente, esta amenaza se está propagando en un dominio CL ublicado en Chile:
“En esta campaña hemos visto que el actor del ataque ha abusado del Telegram para hospedar ahí su centro de comando y control para comunicarse con los equipos infectados. Esta técnica es muy sutil cuando se trata de evadir la detección por proxy o DNS. Telegram es un recurso limpio que de seguro un administrador de red al verlo en sus logs, no pensaría que se tratara de algo malicioso. Esto me recuerda el Tétrade que también ha usado varios recursos de Google para la comunicación con el C2″, aseguró Bestuzhev.
Puedes dar clic aquí para obtener Protección contra ransomware
Si deseas informarte con las actualizaciones y comunicaciones de Dmitry Bestuzhev y el equipo de GReAT en materia de ciberseguridad, puedes seguir a Dmitry en su cuenta oficial de Twitter aquí