(https://i.postimg.cc/SQBnth37/Telegram-hacker.png) (https://postimages.org/)
Los investigadores de ciberseguridad de Netskope han descubierto un nuevo backdoor funcional, pero posiblemente todavía en desarrollo, basado en Golang que utiliza Telegram para comando y control (C2).
Este malware (Trojan.Generic.37477095), aparentemente de origen ruso, se aprovecha de servicios en la nube como Telegram, que son fáciles de usar para los atacantes y difíciles de monitorear para los investigadores. Este método de comunicación C2 evita la necesidad de una infraestructura dedicada para los atacantes. Otras plataformas en la nube como OneDrive, GitHub y Dropbox también podrían usarse de forma indebida de esta manera.
Al ejecutarse, el malware, compilado en Go, inicia una función "installSelf". Esta función verifica si el malware se está ejecutando desde la ubicación y el nombre de archivo designados: "C:\Windows\Temp\svchost.exe". Si no es así, el malware se copia a sí mismo en esa ubicación, crea un nuevo proceso para iniciar la copia y luego finaliza la instancia original. Este proceso, ejecutado en una función de inicialización, garantiza que el malware se ejecute desde la ubicación prevista antes de continuar.
Para la comunicación C2, el backdoor emplea un paquete Go de código abierto para interactuar con Telegram. Establece una instancia de bot utilizando la función BotFather de Telegram y un token específico (8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk en la muestra analizada). Luego, el malware monitorea un chat designado de Telegram en busca de nuevos comandos.
El malware admite cuatro comandos, pero solo tres están implementados actualmente. Valida la longitud y el contenido de los mensajes recibidos antes de la ejecución. El comando "/cmd" requiere dos mensajes: el comando en sí, seguido de un comando de PowerShell para ejecutarse.
En la siguiente fase, el malware envía un mensaje en ruso ("Ingrese el comando:") al chat después de recibir el comando inicial y luego espera el comando de PowerShell posterior. Luego, este comando se ejecuta en una ventana oculta de PowerShell.
El comando "/persist" replica la comprobación y el proceso de instalación inicial, reinicia el malware y sale. El comando "/screenshot", aunque no está completamente implementado, aún envía un mensaje de "Captura de pantalla capturada" al canal de Telegram.
El comando "/selfdestruct" elimina el archivo de malware (C:\Windows\Temp\svchost.exe) y finaliza el proceso, notificando al canal de Telegram con un mensaje de "Autodestrucción iniciada". Todos los resultados del comando se transmiten de vuelta al canal de Telegram a través de la función "sendEncrypted".
Esta explotación de aplicaciones en la nube con fines maliciosos resalta los desafíos que enfrentan los defensores.
"Aunque el uso de aplicaciones en la nube como canales C2 no es algo que veamos todos los días, es un método muy eficaz que utilizan los atacantes no solo porque no es necesario implementar toda una infraestructura para ello, lo que facilita la vida de los atacantes, sino también porque es muy difícil, desde la perspectiva del defensor, diferenciar lo que es un usuario normal que utiliza una API y lo que es una comunicación C2", señalaron los investigadores en su publicación técnica del blog.
Para mantenerse protegido, asegúrese de tener instalado en todos sus dispositivos un software antivirus y antimalware actualizado y de buena reputación. Estas soluciones deberían ser capaces de detectar y bloquear archivos maliciosos, incluidos los ejecutables basados en Go.
Fuente:
HackRead
https://hackread.com/hackers-exploit-telegram-api-spread-golang-backdoor/