Portada » Home » Aplicaciones de mensajería: Un canal utilizado para distribuir malware

Aplicaciones de mensajería: Un canal utilizado para distribuir malware

Las plataformas de mensajería, como Telegram y Discord, tienen funciones de automatización que están bien evaluadas entre usuarios… y ciberdelincuentes.

Apps como Discord y Telegram tienen elementos subyacentes que permiten a los usuarios crear y compartir programas u otros tipos de contenido que se usan dentro de la plataforma.

Estos programas, conocidos coloquialmente como «bots» -u otros contenidos- permiten a los usuarios compartir medios, jugar, moderar canales, o cualquier otra tarea automatizada que un desarrollador pueda diseñar.

En esa línea, los ciberdelincuentes han descubierto cómo aprovechar esto para sus propias ganancias. De hecho, el equipo de investigación de Intel 471 ha observado varias formas en que los actores maliciosos han utilizado este tipo de apps para propagar su propio malware.

Utilizados principalmente junto con ladrones de información, los ciberdelincuentes han encontrado formas de utilizar estas plataformas para alojar, distribuir y ejecutar diversas funciones que, en última instancia, les permiten robar credenciales u otra información de usuarios desprevenidos.

Los investigadores de Intel 471 han descubierto varios ladrones de información que están disponibles gratuitamente para descargar y que dependen de Discord o Telegram para su funcionalidad.

El ladrón de datos Blitzed Grabber, utiliza la función de webhooks de Discord como una forma de almacenar datos que se filtran a través del malware.

Al igual que una API, los webhooks brindan una manera fácil de enviar mensajes automatizados y actualizaciones de datos desde la máquina de una víctima a un canal de mensajería en particular.

Una vez que el malware entrega esa información robada en Discord, los actores pueden usarla para continuar con sus propios esquemas o moverse para vender las credenciales robadas.

Estos ladrones pueden robar todo tipo de información, incluidos datos de autocompletado, marcadores, cookies del navegador, credenciales de clientes de redes privadas virtuales (VPN), información de tarjetas de pago, billeteras de criptomonedas, información del sistema operativo, contraseñas y claves de producto de Microsoft Windows.

Varios de los capturadores, incluidos Blitzed Grabber, Mercurial Grabber y 44Caliber, también buscan credenciales para las plataformas de juegos Minecraft y Roblox.

Otro bot, centrado en Telegram en particular, conocido como X-Files, tiene una funcionalidad a la que se puede acceder a través de comandos de bot dentro de Telegram.

Una vez que el malware se ha cargado en el sistema de la víctima, los actores malintencionados pueden obtener contraseñas, cookies de sesión, credenciales de inicio de sesión, detalles de la tarjeta de crédito, y dirigir esa información al canal de Telegram de su elección. X-Files puede tomar información de una variedad de navegadores, incluidos Google Chrome, Chromium, Opera, Slimjet y Vivaldi.

Otro ladrón conocido como Prynt Stealer funciona de manera similar, pero no tiene los comandos integrados de Telegram.

Los investigadores de Intel 471 también observaron actores de amenazas que abusan de la infraestructura de la nube utilizada por las aplicaciones de mensajería para respaldar campañas de propagación de malware.

Muchos actores de amenazas actualmente usan la red de entrega de contenido (CDN) de Discord para alojar cargas útiles de malware. Esto, ya que los operadores de malware -aparentemente- no enfrentan ninguna restricción al cargar sus cargas maliciosas en Discord CDN para el alojamiento de archivos.

Los enlaces están abiertos a cualquier usuario sin autenticación, lo que brinda a los actores de amenazas un dominio web de gran reputación para alojar cargas útiles maliciosas.

Las familias de malware observadas usando Discord CDN para alojar cargas maliciosas incluyen:

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi stealer
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT