Una reciente investigación permite que el famoso servicio de Telegram sea infectado por un Malware a través de un servidor de comando y control (C2).
El software malicioso que utiliza Telegram como canal C2 suele utilizar la API de Telegram Bot dentro de las conversaciones, esta falla se presenta justamente en la forma en que Telegram maneja los mensajes enviados a través de esta API.
Todos los mensajes que pasan a través de esta API pueden ser reproducidos por un atacante capaz de interceptar y descifrar el tráfico HTTPS. En la práctica, esto puede dar al hacker el historial completo de todos los mensajes enviados o recibidos por el bot objetivo. Entonces se preguntarán ¿Como se filtran los mensajes del usuario? Los mensajes de los bots generalmente están presentes en grupos en donde existen usuarios humanos por lo que los mensajes de estos también son filtrados.
El malware en cuestión es un malware desarrollado en .NET bastante simple que se denomina 'GoodSender'. Funciona de una manera bastante simple: una vez que el malware es implantado, se crea un nuevo usuario administrador y se habilita el escritorio remoto, además de asegurarse de que no esté bloqueado por el firewall. El nombre de usuario para el nuevo usuario administrador es estático, pero la contraseña se genera aleatoriamente.
Toda esta información (el nombre de usuario, la contraseña y la dirección IP de la víctima) se envía al atacante a través de la red de Telegram, por lo que tiene acceso a la computadora de la víctima a través de RDP (Protocolo de Microsoft de control de acceso remoto).
Se recomienda a todos los usuarios evitar el uso de bots en Telegram, así como evitar canales y grupos en que estos sean partícipes.
REFERENCIA
COMENTARIOS