MADRID, 17 (Portaltic/EP)
La compañía de ciberseguridad Forcepoint ha descubierto una vulnerabilidad en la aplicación de mensajería Telegram por la que, a través del uso de 'bots' maliciosos, la aplicación puede servir a los ciberatacantes como herramienta para controlar un nuevo tipo de 'malware'.
El 'malware', que Forcepoint ha descubierto y bautizado como GoodSender, utiliza una vulnerabilidad en la tecnología de encriptación TLS de Telegram, muy similar a la capa HTTPS que se utiliza en los sitios web, como ha informado la compañía de ciberseguridad desde su blog.
Aunque en la práctica Telegram utiliza otros protocolos más seguros en la mayoría de sus funciones, como la encriptación de extremo a extremo de MTProto, Forcepoint ha alertado que las interfaces de programación (API) que utiliza la 'app' de mensajería para gestionar los 'bots' y sus mensajes utilizan solo el sistema TLS.
Debido al funcionamiento de esta API de Telegram, el servicio resulta vulnerable si un atacante que intercepta el tráfico HTTP, de manera que los 'hackers' tienen la posibilidad de acceder a historial completo de mensajes enviados y recibidos.
Este es el procedimiento que sigue GoodSender, un 'malware' simple de tipo '.net' que utiliza Telegram como infraestructura de comando y control. A través de la 'app', el virus crea un nuevo usuario administrador y habilita un escritorio remoto.
A través de esta técnica, Telegram permite a los atacantes hacerse con datos de la víctima como su nombre de usuario, contraseña y dirección IP para, en última instancia, conseguir el control del dispositivo infectado sin que lo perciban los 'firewall'.
GoodSender ha infectado al menos a 120 víctimas, principalmente en Estados Unidos. Forcepoint ha asegurado haber informado a Telegram sobre la existencia de la vulnerabilidad, y que para diseñar el 'malware' se utilizó el 'exploit' EternalBlue, desarrollado por la agencia de seguridad nacional de Estados Unidos y filtrado en 2017.