AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Cibercriminales secuestran sesiones de Telegram mediante scripts PowerShell para eludir autenticación

admin

#### Introducción

En las últimas semanas, se ha detectado una campaña de ciberataques dirigida a usuarios de Telegram, en la que los atacantes emplean scripts PowerShell para secuestrar sesiones activas y acceder a cuentas sin necesidad de contraseñas ni códigos de verificación. Este incidente pone en alerta a la comunidad de ciberseguridad, ya que pone en entredicho la confianza en los métodos tradicionales de autenticación y revela nuevas formas de explotación de aplicaciones de mensajería ampliamente extendidas en entornos corporativos.

#### Contexto del Incidente o Vulnerabilidad

Telegram, con más de 900 millones de usuarios globales, se ha convertido en una de las plataformas de mensajería preferidas tanto por usuarios finales como por profesionales y empresas por sus características de privacidad y cifrado. No obstante, esta popularidad también la convierte en un objetivo recurrente para actores maliciosos. La presente campaña, detectada a finales de mayo de 2024, aprovecha la forma en que Telegram maneja las sesiones de usuario, permitiendo el secuestro de cuentas activas a través de la manipulación de archivos locales.

El vector de ataque inicial suele ser el phishing dirigido a empleados de empresas, especialmente en sectores como tecnología, telecomunicaciones y finanzas. Los correos fraudulentos adjuntan archivos maliciosos o enlaces que, al ejecutarse, descargan y ejecutan scripts PowerShell en el sistema comprometido.

#### Detalles Técnicos

La técnica empleada por los atacantes se basa en la exfiltración del archivo de sesión de Telegram, localizado habitualmente en `%APPDATA%Telegram Desktoptdata`. Este archivo contiene los tokens de sesión necesarios para acceder a la cuenta del usuario sin requerir autenticación adicional.

– **CVE y referencias:** Aunque no existe un CVE específico asociado a esta técnica, se relaciona con vulnerabilidades de exposición de credenciales locales y el uso indebido de PowerShell como vector de persistencia y exfiltración.
– **Vectores de ataque:** El principal vector es la ejecución remota de PowerShell, habitualmente mediante scripts ofuscados que evaden las políticas de ejecución (`ExecutionPolicy Bypass`). Los scripts pueden ser entregados a través de spear-phishing, macros maliciosas en documentos de Office o mediante exploits automatizados en frameworks como Metasploit.
– **TTP (MITRE ATT&CK):**
– **T1059.001** (Command and Scripting Interpreter: PowerShell)
– **T1005** (Data from Local System)
– **T1114** (Email Collection)
– **T1027** (Obfuscated Files or Information)
– **IoC (Indicadores de Compromiso):**
– Presencia de scripts PowerShell desconocidos en rutas temporales.
– Acceso no autorizado a archivos `.tdb` y `.key` en el directorio `tdata`.
– Conexiones salientes a servidores C2 mediante HTTP/HTTPS ofuscado.

El script PowerShell empaqueta los archivos de sesión y los transfiere a servidores remotos bajo control de los atacantes. Posteriormente, los cibercriminales pueden importar estos archivos en otro equipo y obtener acceso inmediato a la cuenta de Telegram de la víctima, eludiendo cualquier doble factor de autenticación o verificación adicional.

#### Impacto y Riesgos

El impacto de este ataque es crítico, ya que permite a los atacantes acceder a conversaciones privadas, archivos compartidos y grupos empresariales, lo que puede derivar en robo de información confidencial, espionaje industrial o incluso suplantación de identidad para ataques posteriores (lateral movement).

Según los análisis forenses de incidentes recientes, el 68% de las infecciones detectadas estaban relacionadas con entornos Windows sin restricciones de ejecución de scripts. Empresas que no disponen de controles estrictos sobre PowerShell y monitorización de accesos a directorios de aplicaciones son especialmente vulnerables.

Desde una perspectiva regulatoria, una brecha que implique la exfiltración de datos personales podría estar sujeta a sanciones bajo GDPR, mientras que la nueva directiva NIS2 refuerza la obligatoriedad de notificar incidentes que afecten a la continuidad de servicios críticos.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este vector de ataque, se recomienda:

– **Restricción de PowerShell:** Limitar la ejecución de scripts PowerShell a administradores y emplear políticas de ejecución restringidas (`AllSigned` o `Restricted`).
– **Monitorización y EDR:** Implementar soluciones EDR que detecten y bloqueen la exfiltración de archivos sensibles y el uso anómalo de PowerShell.
– **Hardening de Telegram:** Asegurarse de que el directorio `tdata` cuente con permisos restringidos y emplear cifrado en disco.
– **Concienciación:** Formación continua sobre phishing y amenazas emergentes, con especial foco en la manipulación de archivos adjuntos y enlaces sospechosos.
– **Copia de seguridad y restauración:** Mantener backups seguros y procedimientos de restauración para cuentas comprometidas.

#### Opinión de Expertos

Analistas de amenazas de Kaspersky y otros vendors coinciden en que este tipo de ataques evidencian la necesidad de reforzar la seguridad de aplicaciones de mensajería popularizadas en entornos corporativos. “El uso de PowerShell como vector de exfiltración es especialmente peligroso por su versatilidad y capacidad para evadir controles tradicionales”, señala un analista SOC. Además, recomiendan la adopción de Zero Trust y segmentación de acceso a aplicaciones.

#### Implicaciones para Empresas y Usuarios

Para las empresas, el secuestro de sesiones de Telegram puede traducirse en fugas masivas de información, daño reputacional y posibles multas regulatorias. Los usuarios corporativos deben extremar las precauciones en la gestión de sesiones y evitar el uso compartido de dispositivos o la sincronización innecesaria de cuentas en múltiples equipos.

A nivel de mercado, se prevé un aumento de ataques dirigidos a aplicaciones de mensajería, especialmente aquellas que permiten la persistencia de sesiones sin autenticación reforzada. La tendencia a integrar funciones críticas de negocio en estas plataformas incrementa el atractivo para los atacantes.

#### Conclusiones

El secuestro de sesiones de Telegram mediante scripts PowerShell representa una amenaza real y en crecimiento para empresas y usuarios. La explotación de archivos de sesión locales y la sofisticación de los vectores de ataque obligan a implementar controles técnicos y de concienciación más robustos. La adopción de medidas proactivas y la monitorización continua son esenciales ante un panorama en el que las aplicaciones de mensajería se consolidan como nuevo objetivo prioritario de los cibercriminales.

(Fuente: www.kaspersky.com)