Windows

Los ciberdelincuentes pueden implementar malware en máquinas con Windows usando Telegram

Los ciberdelincuentes pueden implementar malware en máquinas con Windows usando Telegram

Ciberdelincuentes ahora pueden infectar computadoras con Windows con un tipo diferente de malware que se puede controlar usando Telegram, una aplicación de mensajería encriptada basada en la nube que rivaliza con WhatsApp. Usuario de Twitter @ 3xp0rtblog encontró que el T-RAT 2.0 se vende en foros rusos.

Ventanas de telegramas TRAT 2.0

El malware T-RAT 2.0 infecta las máquinas con Windows

T-RAT 2.0 ofrece acceso remoto a un terminal Powershell o CMD a través de Telegram, lo que permite a los piratas informáticos controlar las máquinas Windows infectadas. Las imágenes que componen el texto en ruso promueven la conveniencia de usar el T-RAT, cortesía de su control remoto a través de la función Telegram.

¿Pueden los piratas informáticos atacar máquinas con Windows a través de Telegram?

Una empresa de ciberseguridad, G-Data, explicó cómo T-RAT 2.0 puede dañar las computadoras con Windows. ‘Downloader’ es la primera etapa conocida de la infección por T-RAT. Una vez que el archivo está encriptado, aplica XOR con la clave 0x01 para el descifrado.

El archivo resultante es un archivo ZIP que se guarda en% TEMP% / hrtghgesd .zip.

Luego, el descargador elimina% TEMP% / gfdggfd.jpg y extrae el archivo ZIP.

“Ambos nombres codificados constan de caracteres cuyas teclas están una al lado de la otra en un teclado QWERTY, por lo que el actor de amenazas probablemente simplemente colocó una parte del cuerpo en el teclado para crearlos”, dijo el analista de malware de G-Data Karsten Hahn en tu entrada explicativa.

Si el descargador detecta que el usuario tiene derechos de administrador, la primera parte de la ruta es una de las siguientes:

%APPDATA%MicrosoftWindows

%USERPROFILE%WindowsSystem32

%LOCALAPPDATA%MicrosoftWindows​​​​​​​​​​​

En ausencia de derechos de administrador, la primera parte de la ruta es una de las siguientes:

%SYSTEM%MicrosoftProtect

%COMMONAPPDATA%MicrosoftWindows​​​​​​​​​

%USERPROFILE%AppDataLocalLowMicrosoftWindows​​​​​​​​​​​​

C:WindowsassemblyGAC​​​​​​​​

“Para la segunda parte de la ruta del malware, el descargador genera un número aleatorio entre 347 y 568203, lo convierte en una cadena y luego aplica un hash utilizando MD5, SHA1 o SHA256. Utiliza la representación hexadecimal del hash como la segunda parte de la ruta del malware ”, agregó G-Data.

El descargador utiliza “la representación hexadecimal del hash como la segunda parte de la ruta del malware”. Finalmente, el archivo consta del ejecutable T-RAT sihost.exe, además de varias DLL necesarias. Por ejemplo, Telegram.Bot.dll y socks5.dll.

El T-RAT admite un total de 98 comandos, que incluyen navegación por menús, administrador de archivos, ladrón, cortadora, monitoreo y espionaje, interrupción, control remoto y más.

Ventanas de telegramas TRAT 2.0

You may also like

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

More in Windows