El malware TeleGrab permite evadir el cifrado para leer mensajes privados

17/05/2018

Investigadores de Talos, la división de ciberseguridad de Cisco, han identificado un malware que permite robar información de las víctimas utilizando el servicio de mensajería Telegram.

Los detalles se dieron el pasado miércoles en una publicación en el blog de Talos, donde dice que el malware de TeleGrab apunta a víctimas que hablan ruso y está diseñado para secuestrar sesiones de chat y capturar contactos y chats anteriores.

Vale la pena señalar que el malware solo afecta a los clientes de escritorio y navegador de Telegram, que no posee las mismas características de seguridad que la aplicación móvil.

"El malware abusa de la falta de chats secretos, la cual es una característica, no un error", escriben los investigadores, refiriéndose a la característica de chats cifrados de cliente a cliente de Telegram.

Los clientes de escritorio de Telegram no tienen esta característica porque no admiten el almacenamiento local, según la página de preguntas frecuentes de Telegram. Por esa razón, Talos dice que el malware no explota ninguna vulnerabilidad.

"El problema es la falta de transparencia, a los usuarios nunca se les advierte que al usar la versión de escritorio de Telegram sus chats no son tan seguros como los que pueden tener al usar la versión móvil, cuando usas la característica de Chat secreto," Vitor Ventura, el autor del reporte, le dijo a CyberScoop por correo electrónico. "Dado que estamos hablando de una aplicación de mensajería segura, este tipo de hechos se deben explicar a los usuarios durante la instalación o al inicio de la misma".

Ventura dijo que, de hecho, el malware ha sido utilizado en víctimas, "reuniendo miles de credenciales". El malware se distribuye en etapas separadas de droppers y payloads. Los investigadores creen que los droppers se distribuyen a través de enlaces en foros y redes sociales. Pero Talos no pudo confirmar ni obtener una muestra de esas fuentes, dijo Ventura.

Al investigar el malware,  investigadores de Talos dicen que encontraron un video tutorial en YouTube (que luego fue eliminado) que explica cómo trabaja TeleGrab.

Talos dice que identificó al autor del malware "con alta precisión" basado en el video y el análisis de las variantes del malware. El autor sospechoso es un usuario llamado "Racoon Hacker", "Eynot" y "Racoon Pogoromist".

Los investigadores encontraron un artículo en un foro ruso de Racoon Hacker con el título "Rompiendo Telegram 2018". Un enlace de GitHub encontrado en otro foro hace referencia al alias del hacker, al igual que el video de YouTube.

En el malware, Talos encontró referencias a credenciales para pCloud, un servicio de almacenamiento en la nube. Las credenciales están expuestas en ciertos archivos de malware. Talos dice que los operadores detrás de TeleGrab usan las cuentas pCloud para almacenar los datos que se filtran.

Los datos de las sesiones de Telegram secuestradas no están cifradas, por lo que cualquier persona con acceso a las cuentas de pCloud pueden verlas en texto plano. Lo mismo ocurre con las credenciales del navegador y las cookies que roba el malware.

Pero otra información almacenada en caché se cifra con la contraseña del usuario. Los investigadores dicen que no han encontrado una herramienta para descifrar la información, pero que no sería difícil crear una herramienta de fuerza bruta que obtenga las contraseñas para descifrarlas satisfactoriamente.

"A pesar de que no está explotando ninguna vulnerabilidad, es bastante raro ver malware que recopile este tipo de información. Este malware debe considerarse una llamada de atención para los usuarios de sistemas de mensajería cifrados ", dice el informe. "Las características que no están claramente explicadas y los valores predeterminados pueden poner en peligro su privacidad".

A principios de esta semana, investigadores europeos también presentaron una técnica similar para explotar la forma en que las plataformas de correo electrónico se integran con PGP, una herramienta de mensajería cifrada, para espiar las comunicaciones cifradas.

Artículos relacionados: