Los hackers están convirtiendo las API de las plataformas de mensajería en servidores C&C

Noticias de seguridad Algunas de las plataformas de mensajería instantánea y chat más populares están siendo explotadas, o tienen el potencial de serlo, por los cibercriminales, quienes buscan convertirlas en su infraestructura de comando y control, C&C, de acuerdo con la nueva investigación de Trend Micro.

El nuevo estudio de la compañía, “Cómo los cibercriminales pueden explotar las API de plataformas de mensajería como infraestructuras C&C”, revisa y analiza populares plataformas de mensajería como Slack, Telegram y Discord; clientes de chat auto-hospedados como HipChat y Mattermost; y redes sociales como Facebook y Twitter. Se revela que varias de las API RESTful de las plataformas de chat podrían ser explotadas con fines maliciosos.

Tras 18 meses de investigación, también se destacan algunos casos en los que los cibercriminales están violando activamente con malware las API de la plataforma de chat para comunicarse. Por ejemplo, se ha descubierto que la aplicación de chat Discord estaba alojando varios tipos de malware, que van desde generadores de claves para craquear exploit kits e inyectores

El informe también revela una campaña de minería de Bitcoin activa que utiliza la plataforma para difundir malware.

"Este informe ilustra la rapidez con que los cibercriminales se adaptan, innovan y despliegan nuevas técnicas para obtener acceso no autorizado a los activos de información de una organización mediante la explotación de servicios legítimos", indica Bharat Mistry, estratega de seguridad de Trend Micro. “El informe también pone el acento en que los proveedores de aplicaciones necesitan pensar sobre las API que exponen y las posibles ramificaciones si las API se utilizan de manera malintencionada”.

En muchos sentidos, no sorprende que los hackers estén recurriendo a estos canales para construir su infraestructura de C&C. Históricamente, muchos utilizaron IRC y servicios similares para configurar servidores C&C, pero este tráfico está ampliamente prohibido dentro de las organizaciones hoy en día, por lo que los ciberdelincuentes están buscando explotar nuevos canales.

Con el 77% de las empresas Fortune 100 utilizando solo Slack, las oportunidades para los agentes maliciosos son obvias. La mayoría de las plataformas de chat ofrecen API que integran servicios básicos de chat con aplicaciones personalizadas a las que los usuarios pueden acceder sin salir de las plataformas de chat que están utilizando. Son estos los que introducen nuevas vulnerabilidades.

Un cibercriminal inteligente y astuto puede explotar la compatibilidad de las API de la plataforma de chat con las máquinas infectadas con malware C&C de forma remota y hacer que realicen actividades maliciosas.

El informe evalúa cada plataforma a su vez, analiza las campañas de malware en curso y ofrece consejos sobre las mejores prácticas para usuarios individuales y empresas. Estas incluyen:

• Aplicar directrices estrictas/hábitos de uso seguros
• Garantizar la información y formación del personal de TI en materia de amenazas relacionadas con las plataformas de chat
• Alentar a los departamentos de TI a supervisar las plataformas de chat para detectar actividad sospechosa en la red
• Suspender cualquier uso no esencial de las plataformas de chat en la oficina