Luego de que WhatsApp decidiera cambiar su términos y condiciones para compartir cierta información con Facebook, la popularidad de Telegram, que promete más seguridad y mejor trato de los datos personales, ascendió al grado de contar reportar hasta 63 millones de descargas tan sólo en enero; sin embargo, se ha descubierto un malware que utiliza a esta plataforma para su distribución.
Al cierre de 2020, Telegram, era la sexta aplicación de mensajería más usada en el mundo, detrás de WhatsApp, Facebook Messenger, WeChat, QQ y Snapchat, según datos de Statista y ha ido en crecimiento debido a la ola de nuevos usuarios que fueron a ella buscando mejor privacidad y más seguridad, pero esto ya no es así.
La división de Inteligencia de Amenazas de la firma de ciberseguridad Check Point (CPR) reporta la existencia de un malware que permite enviar y realizar operaciones maliciosas a través de Telegram. Para ello, los autores utilizan la plataforma como un sistema de mando y control (C&C).
CPR reporta que han detectado más de 130 ciberataques en los últimos meses por medio de un troyano de acceso remoto (RAT) que se llama ToxicEye. Este tipo de troyano le otorga a los ciberdelincuentes control remoto sobre los sistemas infectados, por lo tanto ToxicEye extrae los datos del usuario y los envía a un servidor.
La forma en la que se propaga este malware es por correo electrónico de phishing, el cual incluye un archivo malicioso en formato .exe. Cuando el usuario abre el mail y ejecuta el archivo, éste instala Toxic Eye en la computadora y realiza exploits.
De acuerdo con CPR estas son las capacidades clave que caracterizan a la mayor parte de los ataques que detectaron:
Robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies.
Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador.
Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles.
Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.
¿Cómo opera ToxicEye?
Lo primero que ocurre es la creación de una cuenta de Telegram y a su vez un bot. Posteriormente éste pasa a formar parte del fichero de configuración de ToxicEye y es compilado como un fichero ejecutable.
Por medio de campañas de spam con archivos adjuntos en correos electrónicos es como se propaga este malware. Una vez que la víctima ejecuta el archivo .exe, el malware se conecta a Telegram, lo que permite que sea atacada por medio del bot, que se conecta al dispositivo del usuario con el C&C del ciberdelincuente por medio de la app. Una vez hecho esto, se pueden hacer del control de todo el dispositivo de la víctima.
¿Fui víctima?
En caso de que recuerdes haber abierto algún correo electrónico con las características anteriores, CPR recomienda que busques el archivo C:\Users\ToxicEye\rat.exe:. Si en efecto cuentas con ese archivo en tu dispositivo significa que ha sido infectado y lo mejor es que lo borres o contactes al servicio de asistencia.
Además, lo mejor es que siempre verifiques la veracidad de los correos electrónicos que recibes, compruebes el nombre del remitente, así como el lenguaje utilizado, que si no se lee natural, probablemente sea un phishing. Esto aunado a antivirus y software anti phishing para proteger tus dispositivos.