Los ciberdelincuentes se esconden en Telegram

10 mayo, 2019
18 Compartido 2,270 Visualizaciones

Cuando se trata de una vida fácil, los ciberatacantes detrás del temible malware bancario de Anubis se han convertido en grandes fanáticos de Twitter y, cada vez más, de la mensajería segura de Telegram.

No hay nada nuevo en el uso indebido de malware en servicios populares, pero ¿por qué Twitter y Telegram, y es la reciente migración para asegurar los mensajes relevantes? Como explica SophosLabs, en un nuevo análisis, Anubis toma prestados estos servicios para alojar las instrucciones de comando y control (C2) que busca el malware después de la primera instalación en un sistema. Twitter es atractivo dado que su popularidad y ubicuidad implica que sus dominios tienen menos probabilidades de ser bloqueados por el filtrado web. A pesar de esto, SophosLabs ha notado recientemente que Anubis se está moviendo de Twitter para utilizar casi exclusivamente Telegram, lo que a primera vista es algo extraño.

Tal vez la seguridad interna de Twitter ha mejorado atacando al intruso, bloqueando los dominios Anubis tan rápido como se configuran. Los desarrolladores de software malicioso saben que eso va a suceder en algún momento, pero si es en unos minutos o en unas pocas horas, puede ser un inconveniente. De hecho, Telegram también es bastante bueno en suspender cuentas que abusan de su servicio de esta manera. Sin embargo, escribe el investigador de SophosLabs, Jagadeesh Chandraiah: »Para cuando Telegram elimina la cuenta que se está utilizando para C2, es probable que varias víctimas ya hayan instalado el malware y hayan obtenido su dirección de servidor C2 de la cuenta malévola de Telegram».

El hecho de que Anubis también haya utilizado el uso de caracteres chinos como una forma de ofuscación quizás ofrezca una pista sobre la motivación de los criminales: es un intento de ganar un poco más de tiempo haciendo las cosas más complicadas para los analistas de malware.

Escondiéndose en Telegram

Tal vez los ciberdelincuentes creen que usar Telegram, un servicio que emplea un cifrado de extremo a extremo bien considerado para proteger los mensajes de miradas indiscretas, mantendrá oculto su tráfico.

Si es así, están equivocados. Mientras que los mensajes de Telegram están cifrados, los registros del sistema Android creados por las aplicaciones que encabeza Anubis no lo están. Estos, descubrió SophosLabs, se pueden leer con bastante facilidad.

Eso, podría argumentarse, es un golpe técnico afortunado. Una versión futura podría descubrir una manera de evitar dejar un rastro así, dejando la comunicación C2 lejos del alcance de los investigadores.

Tomar prestada la seguridad para ocultar cosas malas es algo que hemos visto insistentemente en plataformas como Telegram casi desde el principio. Tampoco es la única: WhatsApp, Facebook Messenger y otras también se han visto implicadas en diferentes momentos. Lo que atrae a los ciberatacantes no es simplemente el cifrado y la automatización de bots de estas plataformas, sino el hecho de que ahora hay muchas para elegir.

La mayoría de los usuarios eligen una plataforma de mensajería porque saben que sus amigos también la usan. Los ciberdelincuentes no tienen tales preocupaciones y pueden migrar de una plataforma a otra para contrarrestar la posibilidad de que los pillen.

Esta es una de las razones por las que se ha solicitado debilitar el cifrado ofrecido por algunas de estas plataformas, pero en el mejor de los casos eso solo haría que los atacantes se trasladaran a nuevas plataformas, o tal vez incluso a crearan una propia.

Después de tres décadas de popularización, el buen cifrado está ahora en camino de convertirse en algo a lo que todos pueden acceder, incluidos los ciberatacantes. Si bien las puertas traseras tienen pocas posibilidades de revertir esta tendencia, la investigación de SophosLabs subraya cómo el dispositivo en sí sigue siendo una gran debilidad. Las API están al alcance de cualquiera, pero también lo están los dispositivos desde los que deben operar estas aplicaciones seguras.

Te podría interesar

Barco wePresent ya disponible en Maverick AV Solutions
Network Security
19 compartido2,079 visualizaciones
Network Security
19 compartido2,079 visualizaciones

Barco wePresent ya disponible en Maverick AV Solutions

Mónica Gallego - 1 abril, 2019

Barco wePresent es la solución de colaboración inalámbrica de interfaz software, sencilla y totalmente configurable, perfecta para entornos BYOD y…

WatchGuard, nuevamente reconocida como única Visionaria en el Cuadrante Mágico de Gartner para Gestión Unificada de Amenazas
Soluciones Seguridad
26 compartido1,177 visualizaciones
Soluciones Seguridad
26 compartido1,177 visualizaciones

WatchGuard, nuevamente reconocida como única Visionaria en el Cuadrante Mágico de Gartner para Gestión Unificada de Amenazas

Vicente Ramírez - 3 octubre, 2018

WatchGuard cree que la innovación continua de sus productos y el impulso por redefinir la gestión unificada de amenazas le…

Pequeñas empresas y ciberataques: las diez amenazas más comunes
Soluciones Seguridad
18 compartido2,175 visualizaciones
Soluciones Seguridad
18 compartido2,175 visualizaciones

Pequeñas empresas y ciberataques: las diez amenazas más comunes

Mónica Gallego - 3 diciembre, 2018

Correos electrónicos, redes WiFi, llaves USB... los peligros que penden sobre las pymes son variados y van en aumento. Stormshield…

Deje un comentario

Su email no será publicado