Los investigadores han confirmado un nuevo malware de puerta trasera, escrito en lenguaje de programación Go, que aprovecha Telegram como su canal de comando y control (C2).
Si bien el malware parece estar aún en desarrollo, ya es completamente funcional y capaz de ejecutar diversas actividades maliciosas.
Este uso innovador de aplicaciones basadas en la nube como Telegram para la comunicación C2 plantea desafíos importantes para los defensores de la ciberseguridad.
– Se ha identificado una puerta trasera basada en Go recientemente descubierta, potencialmente de origen ruso.
– El malware utiliza Telegram como su principal canal de comunicación C2.
– A pesar de estar en desarrollo, el malware está operativo e incluye varios comandos implementados.
Análisis técnico
El malware está compilado en Golang y funciona como puerta trasera una vez ejecutado. Al iniciarse, realiza un proceso de autoinstalación inicial comprobando si se está ejecutando desde una ruta de archivo específica: C:\Windows\Temp\svchost.exe.
De lo contrario, se copia a sí mismo en esta ubicación, reinicia la nueva instancia y finaliza el proceso original. Este paso de autoinstalación se ejecuta mediante una función de inicialización antes de llamar a la función principal del malware.
Interacción con Telegrama
El malware emplea un paquete Go de código abierto para interactuar con Telegram. Utiliza la función NewBotAPIWithClient para crear una instancia de bot utilizando un token generado a través de la función BotFather de Telegram.
La muestra analizada contenía el token 8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk. A través de la función GetUpdatesChan, el malware monitorea continuamente un canal en busca de comandos entrantes de sus operadores.
Actualmente, la puerta trasera admite cuatro comandos, tres de los cuales están completamente implementados:
/cmd: Ejecuta comandos de PowerShell recibidos vía Telegram.
/persist: se reinicia en el directorio especificado (C:\Windows\Temp\svchost.exe).
/captura de pantalla: aún no está completamente implementado, pero envía un mensaje de marcador de posición indicando que se tomó una captura de pantalla.
/selfdestruct: Se elimina a sí mismo y finaliza su proceso.
Las salidas de los comandos se envían de vuelta al canal de Telegram mediante una función de envío cifrado. Por ejemplo, al ejecutar /cmd, el malware solicita al atacante (en ruso) que ingrese un comando de PowerShell, que luego ejecuta en modo oculto.
El uso de aplicaciones basadas en la nube como Telegram como canales C2 complica los esfuerzos de detección. Estas plataformas brindan a los atacantes una infraestructura fácil de usar y al mismo tiempo combinan actividad maliciosa con el uso legítimo de API.
Otras aplicaciones en la nube como OneDrive, GitHub y Dropbox podrían explotarse de manera similar de esta manera, lo que haría cada vez más difícil para los defensores diferenciar entre tráfico benigno y malicioso.
Netskope Advanced Threat Protection detecta de forma proactiva esta amenaza con el identificador «Trojan.Generic.37477095». La compañía enfatizó la importancia de monitorear la evolución de las amenazas y adaptar las defensas en consecuencia.
Este malware basado en Go destaca cómo los atacantes aprovechan las aplicaciones en la nube para eludir los mecanismos de detección tradicionales. Al explotar plataformas como Telegram para la comunicación C2, los atacantes simplifican sus operaciones y complican las medidas defensivas.
Netskope Threat Labs informó que continuarán monitoreando el desarrollo de esta puerta trasera y sus tácticas, técnicas y procedimientos (TTP) asociados.
Para obtener detalles técnicos adicionales e indicadores de compromiso (IOC), Netskope ha puesto a disposición datos relevantes en su repositorio de GitHub.
El nuevo malware basado en Go explota telegram y lo utiliza como canal C2
