Incluso cuando Telegram no está instalado o en uso, el sistema permite a los hackers enviar comandos y operaciones maliciosas de forma remota a través de la aplicación de mensajería instantánea.
Los piratas informáticos están aprovechando la popular aplicación de mensajería Telegram al incrustar su código dentro de un troyano de acceso remoto denominado ToxicEye, según una nueva investigación. El malware ToxicEye puede hacerse cargo de los sistemas de archivos, instalar ransomware y filtrar datos de las PC de las víctimas, según investigadores de Check Point Software Technologies.
«Incluso cuando Telegram no está instalado o en uso, el sistema permite a los hackers enviar comandos y operaciones maliciosas de forma remota a través de la aplicación de mensajería instantánea», dijeron los investigadores de Check Point, que identificaron no menos de 130 ataques en los últimos 3 meses, que utilizan un nuevo troyano multifuncional de acceso remoto (RAT) llamado ToxicEye.
Check Point dijo que rastreó más de 130 ciberataques en los últimos tres meses que aprovecharon ToxicEye, que estaba siendo administrado por actores de amenazas a través de Telegram. Los atacantes utilizan el servicio de mensajería para comunicarse con su propio servidor y extraer datos a él, según un informe publicado en línea el jueves.
Es probable que los piratas informáticos hayan apuntado a Telegram, que tiene más de 500 millones de usuarios activos en todo el mundo, como su plataforma de distribución debido a su uso generalizado y popularidad, dijo Idan Sharabi, gerente de investigación y desarrollo de Check Point.
"Creemos que los atacantes están aprovechando el hecho de que Telegram se usa y se permite en casi todas las organizaciones, utilizando este sistema para realizar ataques cibernéticos, que pueden eludir las restricciones de seguridad", dijo en un comunicado enviado por correo electrónico.
El malware también tiene una variedad de exploits que le permiten robar datos, transferir y eliminar archivos, finalizar procesos, implementar un registrador de teclas, secuestrar el micrófono y la cámara de la computadora, e incluso cifrar archivos para obtener un rescate.
De forma específica, la cadena de ataque comienza con la creación de un bot de Telegram por parte del atacante, que luego se incrusta en el archivo de configuración del RAT, antes de compilarlo en un ejecutable (por ejemplo, «paypal checker by saint.exe»). Este archivo .exe después se inyecta en un documento de señuelo de Word («solution.doc) que, al ser ejecutado, descarga y ejecuta Telegram RAT («C:\Users\ToxicEye\rat.exe»).