18 Shares 4303 Views 1 Comments

Los ciberdelincuentes se esconden en Telegram

10 mayo, 2019
18 Compartido 4,303 Visualizaciones 1

Cuando se trata de una vida fácil, los ciberatacantes detrás del temible malware bancario de Anubis se han convertido en grandes fanáticos de Twitter y, cada vez más, de la mensajería segura de Telegram.

No hay nada nuevo en el uso indebido de malware en servicios populares, pero ¿por qué Twitter y Telegram, y es la reciente migración para asegurar los mensajes relevantes? Como explica SophosLabs, en un nuevo análisis, Anubis toma prestados estos servicios para alojar las instrucciones de comando y control (C2) que busca el malware después de la primera instalación en un sistema. Twitter es atractivo dado que su popularidad y ubicuidad implica que sus dominios tienen menos probabilidades de ser bloqueados por el filtrado web. A pesar de esto, SophosLabs ha notado recientemente que Anubis se está moviendo de Twitter para utilizar casi exclusivamente Telegram, lo que a primera vista es algo extraño.

Tal vez la seguridad interna de Twitter ha mejorado atacando al intruso, bloqueando los dominios Anubis tan rápido como se configuran. Los desarrolladores de software malicioso saben que eso va a suceder en algún momento, pero si es en unos minutos o en unas pocas horas, puede ser un inconveniente. De hecho, Telegram también es bastante bueno en suspender cuentas que abusan de su servicio de esta manera. Sin embargo, escribe el investigador de SophosLabs, Jagadeesh Chandraiah: »Para cuando Telegram elimina la cuenta que se está utilizando para C2, es probable que varias víctimas ya hayan instalado el malware y hayan obtenido su dirección de servidor C2 de la cuenta malévola de Telegram».

El hecho de que Anubis también haya utilizado el uso de caracteres chinos como una forma de ofuscación quizás ofrezca una pista sobre la motivación de los criminales: es un intento de ganar un poco más de tiempo haciendo las cosas más complicadas para los analistas de malware.

Escondiéndose en Telegram

Tal vez los ciberdelincuentes creen que usar Telegram, un servicio que emplea un cifrado de extremo a extremo bien considerado para proteger los mensajes de miradas indiscretas, mantendrá oculto su tráfico.

Si es así, están equivocados. Mientras que los mensajes de Telegram están cifrados, los registros del sistema Android creados por las aplicaciones que encabeza Anubis no lo están. Estos, descubrió SophosLabs, se pueden leer con bastante facilidad.

Eso, podría argumentarse, es un golpe técnico afortunado. Una versión futura podría descubrir una manera de evitar dejar un rastro así, dejando la comunicación C2 lejos del alcance de los investigadores.

Tomar prestada la seguridad para ocultar cosas malas es algo que hemos visto insistentemente en plataformas como Telegram casi desde el principio. Tampoco es la única: WhatsApp, Facebook Messenger y otras también se han visto implicadas en diferentes momentos. Lo que atrae a los ciberatacantes no es simplemente el cifrado y la automatización de bots de estas plataformas, sino el hecho de que ahora hay muchas para elegir.

La mayoría de los usuarios eligen una plataforma de mensajería porque saben que sus amigos también la usan. Los ciberdelincuentes no tienen tales preocupaciones y pueden migrar de una plataforma a otra para contrarrestar la posibilidad de que los pillen.

Esta es una de las razones por las que se ha solicitado debilitar el cifrado ofrecido por algunas de estas plataformas, pero en el mejor de los casos eso solo haría que los atacantes se trasladaran a nuevas plataformas, o tal vez incluso a crearan una propia.

Después de tres décadas de popularización, el buen cifrado está ahora en camino de convertirse en algo a lo que todos pueden acceder, incluidos los ciberatacantes. Si bien las puertas traseras tienen pocas posibilidades de revertir esta tendencia, la investigación de SophosLabs subraya cómo el dispositivo en sí sigue siendo una gran debilidad. Las API están al alcance de cualquiera, pero también lo están los dispositivos desde los que deben operar estas aplicaciones seguras.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Radware identifica siete extensiones maliciosas de Chrome que afecta a 100.000 usuarios
APTS
10 compartido1,638 visualizaciones
APTS
10 compartido1,638 visualizaciones

Radware identifica siete extensiones maliciosas de Chrome que afecta a 100.000 usuarios

Mónica Gallego - 15 mayo, 2018

Identifican siete extensiones maliciosas de Chrome con un 'malware' que ha afectado al menos a 100.000 usuarios. Radware, compañía de…

Cómo eliminar Ransom Warrior, la última novedad en malware
Ciberespionaje
31 compartido1,603 visualizaciones
Ciberespionaje
31 compartido1,603 visualizaciones

Cómo eliminar Ransom Warrior, la última novedad en malware

Vicente Ramírez - 2 octubre, 2018

Según los investigadores de Check Point, el ransomware está ocupando el lugar de los troyanos bancarios. Check Point, proveedor especializado…

RootedCON, el evento ‘hacker’ puntero de España celebra su décimo aniversario
Eventos
19 compartido2,509 visualizaciones
Eventos
19 compartido2,509 visualizaciones

RootedCON, el evento ‘hacker’ puntero de España celebra su décimo aniversario

Mónica Gallego - 28 marzo, 2019

Los próximos 28, 29 y 30 de marzo tendrá lugar la décima edición de RootedCON, el congreso de Seguridad Informática…

Un comentario

  1. Pingback: Los ciberdelincuentes se esconden en Telegram

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.