News

Un nuevo programa malicioso trata de secuestrar las sesiones de Telegram

Investigadores de Cisco han encontrado un programa malicioso rondando en la aplicación de mensajería Telegram.

Algo que se ha demostrado ampliamente es que el aumento de la popularidad de las aplicaciones siempre viene de la mano de un aumento de atención por parte de los cibercriminales. Esta vez, le tocó el turno a Telegram, la aplicación de mensajería conocida por prestarle particular atención al cifrado de sus mensajes.

Los investigadores Vitor Ventura y Azim Khodjibaev, de Cisco, descubrieron el programa malicioso que llamaron “Telegrab”. El malware se dedica a recolectar los datos almacenados en caché y las claves de Telegram para compartirlas con los cibercriminales.

La amenaza sólo opera desde Telegram Desktop, la versión de escritorio de la aplicación, y es el primer programa malicioso que se ha descubierto aprovechando esta plataforma.

“Existen otros programas que roban información”, explicó Ventura. “Pero éste en particular, aunque también busca las credenciales de otras aplicaciones, opera desde Telegram Desktop. Creemos que vale la pena recalcar que Telegram Desktop no es seguro de forma predeterminada, y los cibercriminales están aprovechando esa debilidad”.

Los expertos explicaron que los atacantes aprovechan que la versión Desktop de Telegram no tiene activadas de forma predeterminada la característica de Chat Secreto y el cierre de sesión automático. “La ausencia de ambos elementos juntos permite al malware secuestrar la sesión y las conversaciones”, dijeron los investigadores de Cisco.

La primera variante del programa se descubrió el 4 de abril de 2018, y la segunda apareció sólo 6 días después. La primera versión sólo robaba archivos de texto, credenciales del navegador y cookies, pero la segunda agregó funcionalidades que permitían a Telegrab conseguir los datos del caché de Telegram y las credenciales de acceso a Steam.

Por lo tanto, la segunda variante del programa permite que los atacantes secuestren las cuentas de Telegram. “Lo más interesante de este programa es que es capaz de secuestrar sesiones de Telegram”, indicó Ventura. “A pesar de sus limitaciones, este programa permite que se secuestren las sesiones y, con ellas, se compromete la privacidad de los contactos de las víctimas y las conversaciones anteriores”.

Los responsables de la amenaza se dieron a conocer con el pseudónimo “Racoon Hacker” y “Eyenot”. Eyenot ha subido a YouTube varios videos que explican cómo tomar el control de cuentas ajenas de Telegram. Los investigadores de Cisco están casi seguros de que los cibercriminales que manejan Telegrab son de origen ruso, ya que el ataque está diseñado en ruso y está dirigido de forma casi exclusiva a personas que hablan este idioma.

“En comparación con las grandes redes de robots utilizadas por grandes empresas delictivas, esta amenaza puede considerarse casi insignificante”, dicen los investigadores. “Sin embargo, esto muestra cómo una pequeña operación puede volar bajo el radar y comprometer miles de credenciales en menos de un mes, lo que tiene un impacto significativo en la privacidad de la víctima”.

Fuentes
Russian-speaking attacker behind new malware capable of lifting credentials, cookies, desktop cache, and key files • Dark Reading
Telegrab malware hijacks Telegram desktop sessions • ZDNet
El malware Telegrab secuestra las sesiones de escritorio de Telegram • TecnoNucleus

Un nuevo programa malicioso trata de secuestrar las sesiones de Telegram

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada