FatalRAT: El troyano que se está explotando en Telegram

Los canales de Telegram se han convertido en un lugar de moda para los actores de amenazas. Últimamente, un nuevo troyano de acceso remoto (RAT) ha entrado en el panorama, propagándose a través de los canales de Telegram.

Apodado FatalRAT, el troyano se difunde a través de artículos de medios o enlaces de descarga de software en Telegram. Estos mensajes solo pueden ser enviados por los administradores de los canales. El RAT es capaz de ganar persistencia, evadir la detección, recopilar información del sistema y extraer datos.

La RAT puede establecer la persistencia creando un nuevo servicio o modificando el registro existente. Roba datos confidenciales a través de un canal C2 cifrado. La información incluye direcciones IP externas, nombres de usuario y otra información.

El malware puede eliminar información del usuario de navegadores web específicos: Firefox, Chrome, Edge, QQBrowser, 360Secure Browser y SogouBrowser.

Además de FatalRAT, Telegram ha sido aprovechado recientemente por XCSSET y el malware Toxic Eye. La razón principal por la que los ciberdelincuentes explotan Telegram se reduce a que la aplicación es una aplicación legítima y estable que no está bloqueada por herramientas de administración de red o software antivirus. Además de esto, permite a los actores de amenazas permanecer en el anonimato, ya que toda la necesidad de registro es un número de teléfono.

Este nuevo FatalRAT tiene varias funcionalidades maliciosas (ofuscación, evasión de antivirus, evasión anti-sandbox y comunicaciones cifradas) que lo convierten en una amenaza significativa. Los expertos suponen que este troyano y sus diversas muestras se propagarán más en un futuro próximo.