18 Shares 7233 Views 1 Comments

Los ciberdelincuentes se esconden en Telegram

10 mayo, 2019
18 Compartido 7,233 Visualizaciones 1

Cuando se trata de una vida fácil, los ciberatacantes detrás del temible malware bancario de Anubis se han convertido en grandes fanáticos de Twitter y, cada vez más, de la mensajería segura de Telegram.

No hay nada nuevo en el uso indebido de malware en servicios populares, pero ¿por qué Twitter y Telegram, y es la reciente migración para asegurar los mensajes relevantes? Como explica SophosLabs, en un nuevo análisis, Anubis toma prestados estos servicios para alojar las instrucciones de comando y control (C2) que busca el malware después de la primera instalación en un sistema. Twitter es atractivo dado que su popularidad y ubicuidad implica que sus dominios tienen menos probabilidades de ser bloqueados por el filtrado web. A pesar de esto, SophosLabs ha notado recientemente que Anubis se está moviendo de Twitter para utilizar casi exclusivamente Telegram, lo que a primera vista es algo extraño.

Tal vez la seguridad interna de Twitter ha mejorado atacando al intruso, bloqueando los dominios Anubis tan rápido como se configuran. Los desarrolladores de software malicioso saben que eso va a suceder en algún momento, pero si es en unos minutos o en unas pocas horas, puede ser un inconveniente. De hecho, Telegram también es bastante bueno en suspender cuentas que abusan de su servicio de esta manera. Sin embargo, escribe el investigador de SophosLabs, Jagadeesh Chandraiah: »Para cuando Telegram elimina la cuenta que se está utilizando para C2, es probable que varias víctimas ya hayan instalado el malware y hayan obtenido su dirección de servidor C2 de la cuenta malévola de Telegram».

El hecho de que Anubis también haya utilizado el uso de caracteres chinos como una forma de ofuscación quizás ofrezca una pista sobre la motivación de los criminales: es un intento de ganar un poco más de tiempo haciendo las cosas más complicadas para los analistas de malware.

Escondiéndose en Telegram

Tal vez los ciberdelincuentes creen que usar Telegram, un servicio que emplea un cifrado de extremo a extremo bien considerado para proteger los mensajes de miradas indiscretas, mantendrá oculto su tráfico.

Si es así, están equivocados. Mientras que los mensajes de Telegram están cifrados, los registros del sistema Android creados por las aplicaciones que encabeza Anubis no lo están. Estos, descubrió SophosLabs, se pueden leer con bastante facilidad.

Eso, podría argumentarse, es un golpe técnico afortunado. Una versión futura podría descubrir una manera de evitar dejar un rastro así, dejando la comunicación C2 lejos del alcance de los investigadores.

Tomar prestada la seguridad para ocultar cosas malas es algo que hemos visto insistentemente en plataformas como Telegram casi desde el principio. Tampoco es la única: WhatsApp, Facebook Messenger y otras también se han visto implicadas en diferentes momentos. Lo que atrae a los ciberatacantes no es simplemente el cifrado y la automatización de bots de estas plataformas, sino el hecho de que ahora hay muchas para elegir.

La mayoría de los usuarios eligen una plataforma de mensajería porque saben que sus amigos también la usan. Los ciberdelincuentes no tienen tales preocupaciones y pueden migrar de una plataforma a otra para contrarrestar la posibilidad de que los pillen.

Esta es una de las razones por las que se ha solicitado debilitar el cifrado ofrecido por algunas de estas plataformas, pero en el mejor de los casos eso solo haría que los atacantes se trasladaran a nuevas plataformas, o tal vez incluso a crearan una propia.

Después de tres décadas de popularización, el buen cifrado está ahora en camino de convertirse en algo a lo que todos pueden acceder, incluidos los ciberatacantes. Si bien las puertas traseras tienen pocas posibilidades de revertir esta tendencia, la investigación de SophosLabs subraya cómo el dispositivo en sí sigue siendo una gran debilidad. Las API están al alcance de cualquiera, pero también lo están los dispositivos desde los que deben operar estas aplicaciones seguras.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La biometría vocal como factor de verificación fiable y seguro: 4 casos de suplantación de identidad a los que ofrece solución
Actualidad
8 compartido1,333 visualizaciones
Actualidad
8 compartido1,333 visualizaciones

La biometría vocal como factor de verificación fiable y seguro: 4 casos de suplantación de identidad a los que ofrece solución

Alicia Burrueco - 3 marzo, 2020

  La biometría vocal llega para impedir el acceso no autorizado a servicios, bloquear los fraudes en las compras online,…

CyberTechLive Europe 2020
Actualidad
8 compartido1,311 visualizaciones
Actualidad
8 compartido1,311 visualizaciones

CyberTechLive Europe 2020

Redacción - 10 septiembre, 2020

Una edición digital especial del evento de CyberTech CyberTech, la empresa especializada en mantenimientos integrales, instalaciones y reformas con más…

Una vida de ciberdelincuencia:  La historia de cómo un hacker nigeriano ganó más de 100.000 dólares
Actualidad
9 compartido1,963 visualizaciones
Actualidad
9 compartido1,963 visualizaciones

Una vida de ciberdelincuencia: La historia de cómo un hacker nigeriano ganó más de 100.000 dólares

Alicia Burrueco - 25 marzo, 2020

El hacker invirtió cerca de 13.000 dólares en comprar los datos de 1.000 tarjetas de crédito en un mercado negro…

Un comentario

  1. Pingback: Los ciberdelincuentes se esconden en Telegram

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.