18 Shares 10450 Views 1 Comments

Los ciberdelincuentes se esconden en Telegram

10 mayo, 2019
18 Compartido 10,450 Visualizaciones 1

Cuando se trata de una vida fácil, los ciberatacantes detrás del temible malware bancario de Anubis se han convertido en grandes fanáticos de Twitter y, cada vez más, de la mensajería segura de Telegram.

No hay nada nuevo en el uso indebido de malware en servicios populares, pero ¿por qué Twitter y Telegram, y es la reciente migración para asegurar los mensajes relevantes? Como explica SophosLabs, en un nuevo análisis, Anubis toma prestados estos servicios para alojar las instrucciones de comando y control (C2) que busca el malware después de la primera instalación en un sistema. Twitter es atractivo dado que su popularidad y ubicuidad implica que sus dominios tienen menos probabilidades de ser bloqueados por el filtrado web. A pesar de esto, SophosLabs ha notado recientemente que Anubis se está moviendo de Twitter para utilizar casi exclusivamente Telegram, lo que a primera vista es algo extraño.

Tal vez la seguridad interna de Twitter ha mejorado atacando al intruso, bloqueando los dominios Anubis tan rápido como se configuran. Los desarrolladores de software malicioso saben que eso va a suceder en algún momento, pero si es en unos minutos o en unas pocas horas, puede ser un inconveniente. De hecho, Telegram también es bastante bueno en suspender cuentas que abusan de su servicio de esta manera. Sin embargo, escribe el investigador de SophosLabs, Jagadeesh Chandraiah: »Para cuando Telegram elimina la cuenta que se está utilizando para C2, es probable que varias víctimas ya hayan instalado el malware y hayan obtenido su dirección de servidor C2 de la cuenta malévola de Telegram».

El hecho de que Anubis también haya utilizado el uso de caracteres chinos como una forma de ofuscación quizás ofrezca una pista sobre la motivación de los criminales: es un intento de ganar un poco más de tiempo haciendo las cosas más complicadas para los analistas de malware.

Escondiéndose en Telegram

Tal vez los ciberdelincuentes creen que usar Telegram, un servicio que emplea un cifrado de extremo a extremo bien considerado para proteger los mensajes de miradas indiscretas, mantendrá oculto su tráfico.

Si es así, están equivocados. Mientras que los mensajes de Telegram están cifrados, los registros del sistema Android creados por las aplicaciones que encabeza Anubis no lo están. Estos, descubrió SophosLabs, se pueden leer con bastante facilidad.

Eso, podría argumentarse, es un golpe técnico afortunado. Una versión futura podría descubrir una manera de evitar dejar un rastro así, dejando la comunicación C2 lejos del alcance de los investigadores.

Tomar prestada la seguridad para ocultar cosas malas es algo que hemos visto insistentemente en plataformas como Telegram casi desde el principio. Tampoco es la única: WhatsApp, Facebook Messenger y otras también se han visto implicadas en diferentes momentos. Lo que atrae a los ciberatacantes no es simplemente el cifrado y la automatización de bots de estas plataformas, sino el hecho de que ahora hay muchas para elegir.

La mayoría de los usuarios eligen una plataforma de mensajería porque saben que sus amigos también la usan. Los ciberdelincuentes no tienen tales preocupaciones y pueden migrar de una plataforma a otra para contrarrestar la posibilidad de que los pillen.

Esta es una de las razones por las que se ha solicitado debilitar el cifrado ofrecido por algunas de estas plataformas, pero en el mejor de los casos eso solo haría que los atacantes se trasladaran a nuevas plataformas, o tal vez incluso a crearan una propia.

Después de tres décadas de popularización, el buen cifrado está ahora en camino de convertirse en algo a lo que todos pueden acceder, incluidos los ciberatacantes. Si bien las puertas traseras tienen pocas posibilidades de revertir esta tendencia, la investigación de SophosLabs subraya cómo el dispositivo en sí sigue siendo una gran debilidad. Las API están al alcance de cualquiera, pero también lo están los dispositivos desde los que deben operar estas aplicaciones seguras.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

¿Cómo funcionan las cookies y qué datos pueden dar a las empresas?
Actualidad
14 compartido1,474 visualizaciones
Actualidad
14 compartido1,474 visualizaciones

¿Cómo funcionan las cookies y qué datos pueden dar a las empresas?

Vicente Ramírez - 22 agosto, 2019

  Según un estudio de PrivacyCloud, solo el 14% de las páginas que más visitan los españoles ha adecuado su…

Nuevos vectores de ciberataque en la oleada de teletrabajo
Actualidad
7 compartido1,625 visualizaciones
Actualidad
7 compartido1,625 visualizaciones

Nuevos vectores de ciberataque en la oleada de teletrabajo

Aina Pou Rodríguez - 23 marzo, 2020

La vulnerabilidad se debe a la falta de infraestructura de las empresas españolas. fibratel, señala que la oleada de teletrabajo,…

Amazon Web Services anuncia ocho nuevos servicios de almacenamiento y capacidades
Eventos
29 compartido1,585 visualizaciones
Eventos
29 compartido1,585 visualizaciones

Amazon Web Services anuncia ocho nuevos servicios de almacenamiento y capacidades

Vicente Ramírez - 3 diciembre, 2018

Amazon S3 Intelligent-Tiering optimiza los costos de almacenamiento al seleccionar automáticamente el nivel de almacenamiento más económico en función de…

Un comentario

  1. Pingback: Los ciberdelincuentes se esconden en Telegram

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.