Investigadores de Cisco han encontrado un programa malicioso rondando en la aplicación de mensajería Telegram.
Algo que se ha demostrado ampliamente es que el aumento de la popularidad de las aplicaciones siempre viene de la mano de un aumento de atención por parte de los cibercriminales. Esta vez, le tocó el turno a Telegram, la aplicación de mensajería conocida por prestarle particular atención al cifrado de sus mensajes.
Los investigadores Vitor Ventura y Azim Khodjibaev, de Cisco, descubrieron el programa malicioso que llamaron “Telegrab”. El malware se dedica a recolectar los datos almacenados en caché y las claves de Telegram para compartirlas con los cibercriminales.
La amenaza sólo opera desde Telegram Desktop, la versión de escritorio de la aplicación, y es el primer programa malicioso que se ha descubierto aprovechando esta plataforma.
“Existen otros programas que roban información”, explicó Ventura. “Pero éste en particular, aunque también busca las credenciales de otras aplicaciones, opera desde Telegram Desktop. Creemos que vale la pena recalcar que Telegram Desktop no es seguro de forma predeterminada, y los cibercriminales están aprovechando esa debilidad”.
Los expertos explicaron que los atacantes aprovechan que la versión Desktop de Telegram no tiene activadas de forma predeterminada la característica de Chat Secreto y el cierre de sesión automático. “La ausencia de ambos elementos juntos permite al malware secuestrar la sesión y las conversaciones”, dijeron los investigadores de Cisco.
La primera variante del programa se descubrió el 4 de abril de 2018, y la segunda apareció sólo 6 días después. La primera versión sólo robaba archivos de texto, credenciales del navegador y cookies, pero la segunda agregó funcionalidades que permitían a Telegrab conseguir los datos del caché de Telegram y las credenciales de acceso a Steam.
Por lo tanto, la segunda variante del programa permite que los atacantes secuestren las cuentas de Telegram. “Lo más interesante de este programa es que es capaz de secuestrar sesiones de Telegram”, indicó Ventura. “A pesar de sus limitaciones, este programa permite que se secuestren las sesiones y, con ellas, se compromete la privacidad de los contactos de las víctimas y las conversaciones anteriores”.
Los responsables de la amenaza se dieron a conocer con el pseudónimo “Racoon Hacker” y “Eyenot”. Eyenot ha subido a YouTube varios videos que explican cómo tomar el control de cuentas ajenas de Telegram. Los investigadores de Cisco están casi seguros de que los cibercriminales que manejan Telegrab son de origen ruso, ya que el ataque está diseñado en ruso y está dirigido de forma casi exclusiva a personas que hablan este idioma.
“En comparación con las grandes redes de robots utilizadas por grandes empresas delictivas, esta amenaza puede considerarse casi insignificante”, dicen los investigadores. “Sin embargo, esto muestra cómo una pequeña operación puede volar bajo el radar y comprometer miles de credenciales en menos de un mes, lo que tiene un impacto significativo en la privacidad de la víctima”.
Fuentes
Russian-speaking attacker behind new malware capable of lifting credentials, cookies, desktop cache, and key files • Dark Reading
Telegrab malware hijacks Telegram desktop sessions • ZDNet
El malware Telegrab secuestra las sesiones de escritorio de Telegram • TecnoNucleus
Un nuevo programa malicioso trata de secuestrar las sesiones de Telegram