Etiqueta: Telegram

HeroRat, otro RAT para Android que utiliza Telegram como C&C

Una nueva familia de RAT para Android que utiliza el sistema de bots de Telegram para su control ha sido descubierta por el analista de seguridad Lukas Stefanko de la empresa ESET.


Este malware llamado “HeroRat” ha sido detectado recientemente, pese a que se estima que al menos desde agosto de 2017 se ha estado comercializando. La información que se tiene no deja claro si esta variante fue creada a partir del código fuente filtrado o no, pero lo que sí conocemos es que se distribuye bajo tres paquetes de licencia (bronce, plata y oro) a un precio de 25, 50 y 100 dólares respectivamente.

Un Remote Access Toolkit (RAT) es un tipo específico de malware que controla un sistema a través de una conexión de red remota. Un RAT intenta ocultarse a la víctima de manera que los usuarios infectados no puedan detectar su presencia.


Basándonos en los 3 IOCs que ha compartido ESET hemos creado una regla en Koodous para localizar todos los APKs que coinciden con la regla que identifica al malware.
La regla es muy sencilla, ya que buscamos solo dos cosas: que se conecte a la API de Telegram y que escriba en el fichero sadas45sg6d4f6g696sadgfasdgf4.xml, a priori dos comportamientos que parecen suficientes para su clasificación. No obstante, estaremos atentos por si ocurriesen falsos positivos que nos indiquen que la regla tiene “overfitting” para corregirlo.



A día de hoy la regla ha detectado 153 apks distintos y ha sido promocionada a social para que los usuarios del antivirus móvil puedan beneficiarse de las detecciones.

 

Como detalles adicionales del RAT comentar que ha sido desarrollado en C# mediante el framework Xamarin y para la comunicación utiliza la librería Telesharp.

 
New Telegram-abusing Android RAT discovered in the wild:

Telegrab un malware en la mensajería instantanea de Telegram

Telegrab un malware de Telegram capaz de robar credenciales de navegadores y cookies

Los ví­deomensajes llegan a Telegram
Telegrab es como se ha bautizado a este malware que se detectó por primera vez el 4 de abril de 2018, y surgió una segunda variante el 10 de abril del presente año. Mientras que la primera versión solo robaba credenciales y cookies del navegador, junto con todos los archivos de texto que puedan encontrarse en el sistema, la segunda variante agregó la capacidad de recopilar la caché del cliente de escritorio y las claves de esta famosa aplicación de mensajería , así como otro tipo de información. El robo de este tipo de información podría acarrear en que se puedan secuestrar las sesiones de Telegram.

El radio de acción de este malware es principalmente víctimas de habla rusa y evita intencionadamente las direcciones IP relacionadas con cualquier servicio de anonimización de usuarios.

Como hemos dicho antes no explota ninguna vulnerabilidad si no que se aprovecha de que el cliente de escritorio de Telegram no soporta los “‘chats secretos” esto junto con una configuración por defecto de no cerrar la sesión automáticamente hace que este malware pueda secuestrar la sesión y por lo tanto las conversaciones. Su funcionamiento se basa en obtener todos los datos de la caché y comprimirlos para posteriormente enviarlo al servidor de control, si suponemos que el atacante no tiene la contraseña, no debería ser difícil para ellos crear un mecanismo de fuerza bruta que les permita obtener la contraseña para así poder descifrar los ficheros.

Esta campaña no es muy sofisticada pero si es tremendamente eficiente, no existe persistencia en la máquina por lo tanto el malware se ejecuta cuando la víctima lo ejecuta, pero no después de reiniciar. El malware se distribuye a través de varios ‘downloaders’ escritos en diferentes lenguajes (Go, Python, DotNet), estos ‘downloaders’ descargan un fichero con nombre“whiteproblem.exe”(entre otros por ejemplo: finder.exe, dpapi.exe, enotproject.exe).

Una vez se descarga el malware tiene dos posibles variantes: la primera ejecuta el finder.exe y la segunda se trata de un fichero ‘.rar’ autoextraible que contiene un ejecutable de python. El fichero “finder.exe” es el responsable de buscar en el disco duro las credenciales del navegador y las cookies de sesión para un usuario, también recoge todos los archivos de texto del sistema, este ejecutable también es el responsable de la exfiltración de la información recopilada.

Si comparamos esta amenaza con las de grandes grupos delictivos en Internet resulta ser insignificante, pero no nos engañemos, esto solo muestra como una amenaza pequeña puede pasar desapercibida y comprometer miles de credenciales.


 
Fuente: