El uso de bots de Telegram para la exfiltración de credenciales aumentó más de ocho veces entre 2021 y 2022, según una nueva investigación.
Un informe publicado esta semana por Cofense encuentra que, si bien los bots de Telegram que se utilizan para filtrar información no son nuevos, los actores de amenazas no los han utilizado comúnmente en el pasado para el phishing de credenciales . Los investigadores notaron que el aumento significativo se asocia principalmente con la táctica popular actual de usar archivos adjuntos HTML como mecanismos de entrega y la facilidad de configuración de Telegram.
"Durante 2022, ha habido un aumento gradual de campañas evasivas que usan bots de Telegram que llegan a las bandejas de entrada. La mayoría de los correos electrónicos en estas campañas contienen un archivo HTML adjunto. Este archivo HTML generalmente tiene la autenticación y la ubicación de un bot de Telegram codificadas y ofuscadas, o redirecciona a un dominio que aloja un kit de phishing con la identificación del bot codificada en sus recursos", se lee en el informe.
Los bots de Telegram son como los robots de servicio clásicos en las películas de ciencia ficción, pero virtuales y activos en Telegram, explicó Joe Gallop, gerente de inteligencia de amenazas cibernéticas de Cofense a SC Media en una entrevista. De hecho, según la definición oficial en el sitio web de Telegram, estos bots pueden admitir "cualquier tipo de tarea o servicio", con algunas funciones populares que incluyen brindar respuestas a las preguntas frecuentes de los usuarios, convertir ciertos tipos de archivos en otros o configurar recordatorios para los usuarios.
Desafortunadamente, "cualquier tipo de tarea o servicio" también atrae a los actores de amenazas para realizar tareas y servicios maliciosos. Para filtrar información de phishing, la única tarea que debe hacer un bot es recibir el texto enviado por la víctima y transmitirlo al actor de amenazas a través del chat de Telegram, señaló el informe.
De hecho, los procedimientos para que los actores de amenazas configuren bots y realicen actividades maliciosas solo requieren tres pasos simples con un costo mínimo.
Primero, siguiendo la guía oficial de Telegram sobre la creación de bots, los actores de amenazas crean bots enviando mensajes al BotFather en Telegram.
En segundo lugar, utilizan el extremo de la API único del bot de Telegram (https://api[.]telegram[.]org/getUpdates) para obtener el ID de chat, un identificador de sesiones de chat entre el bot y un usuario individual o varios usuarios que operan en una charla de grupo. El bot transmitirá las credenciales robadas en este chat.
En tercer lugar, los actores de amenazas insertan el token del bot de Telegram y el ID de chat en secuencias de comandos, programas o archivos maliciosos utilizados en campañas de phishing.
La siguiente captura de pantalla muestra un ejemplo proporcionado por Cofense de un formulario de ingreso de credenciales en un archivo HTML malicioso enviado por correo electrónico. "El archivo HTML tendría el token de un bot y el ID de chat codificados, para autenticarse en la API del bot de Telegram y entregar la información robada a la ubicación correcta. También muestra los resultados finales que se transmiten al chat entre el bot y el actor de amenazas, ", decía el informe.
Jeremy Fuchs, investigador de seguridad cibernética y analista de Avanan, dijo que usar bots de Telegram en el phishing de credenciales es una forma inteligente de evitar la detección.
"Utilizar archivos HTML para ofuscar intenciones maliciosas no es nuevo y sigue siendo una táctica popular porque dificulta el análisis profundo por parte de los servicios de seguridad. Hemos visto a los actores de amenazas usar JavaScript, entidades HTML, CSS personalizado y más para evadir la detección. Utilizar los bots de Telegram es una forma inteligente de hacer esto, especialmente porque el uso de un bot no sería necesariamente visible en el primer análisis", dijo Fuchs a SC Media.
Sin embargo, este fuerte aumento en el abuso de los bots de Telegram también llamará la atención del equipo de seguridad, por lo que la tasa de éxito de este tipo de ataque no está clara, dijo Partick Harr, CEO de SlashNext.
SC Media se comunicó con Telegram para saber si la compañía estaba al tanto del problema y si tomó alguna medida en consecuencia.
En cuanto a las empresas que desean protegerse del abuso de Telegram, Gallop recomendó que el equipo de seguridad establezca políticas con respecto al uso de api[.] Telegram [.]org, el dominio utilizado por los programadores para comunicarse con los bots).
"Los detalles de estas políticas probablemente dependerán de la cantidad de uso legítimo de los bots de Telegram dentro de una organización. Si hay un uso legítimo de los bots de Telegram dentro de una organización, la organización puede permitir tokens de bot autorizados asociados con ese uso legítimo mientras bloquea otro tráfico. Si se puede confirmar que no hay un uso legítimo de los bots de Telegram dentro de una organización, la organización puede bloquear o examinar severamente todo el tráfico a api [.] Telegram [.] org ", dijo Gallop.
"También es importante que las organizaciones se aseguren de contar con defensas de correo electrónico que impidan la entrega de un ataque de phishing de credenciales en primer lugar. Esto implica desarrollar un análisis de comportamiento más holístico para identificar amenazas potenciales en lugar de depender de indicadores estáticos desde el Las características de muchos ataques de phishing de credenciales en la actualidad, como el abuso de los bots de Telegram, son mucho más dinámicas y es posible que no se detecten con métodos tradicionales", agregó Crane Hassold, director de investigación de amenazas en Abnormal Security.
Fuente: https://www.scmagazine.com/
0 Comentarios