Hace unos días los estafadores robaron el acceso a un canal grande de Telegram llamado Reddit usando phishing y un malware de acceso remoto.

El 10 de noviembre, los atacantes obtuvieron acceso a uno de los principales canales de Telegram en idioma ruso dedicado al recurso Reddit. 

Publicación del fundador de canal de Reddit en un foro
Mensaje del propietario en un foro diciendo que le robaron un canal de Telegram y pidiendo ayuda

La historia resultó ser completamente inesperada, y el robo de acceso al canal de Telegram Reddit a los administradores fue espontáneo.

Todo comenzó con el hecho de que el 10 de noviembre a las tres de la tarde hora de Moscú, cierta persona le escribió al propietario del canal. Se presentó como un representante ruso de Wondershare Filmora, un editor de video. Resultó que quería hacer una publicación de publicidad de pago.

Todo el proceso de diálogo con un nuevo socio no fue nada sospechoso por parte del administrador de Reddit. Al dedicar unas palabras sobre el software de edición de video, destacó que está interesado en la cooperación y quiere saber el precio de la integración de publicidad en un video para una publicación separada en el canal.

Luego, el propietario especificó el costo, en respuesta a lo cual el cliente aceptó los términos. Envió el texto de los términos de referencia, especificando que “el pago se realiza inmediatamente antes del lanzamiento de la publicación publicitaria“.

Es importante tener en cuenta que el cliente no insistió en instalar el software Filmora. Luego quitó el vínculo con el archivo. A partir de ahí, el administrador decidió no solo descargar el video requerido para completar la tarea técnica, sino también instalar el programa.

Captura de la conversación
Conversación con el estafador. Se habla de las condiciones de publicidad, pasas para hacerla etc.

Después de que el propietario del canal había utilizado el programa instalado durante varios minutos, lo cerró y apagó su ordenador. Después de unos momentos, regresó y descubrió que le robaron un canal de Telegram con 235k de subs. Además, en la descripción se ha especificado otro usuario para contactar.

Cuando se le preguntaron al estafador sobre el canal, el nuevo “administrador” respondió que fue comprado. No reveló otros detalles de su compra.

Captura del perfil de nuevo propietario
Perfil de uno de los estafadores en la descripción del canal

Un atacante similar intentó iniciar una “cooperación” con otros canales grandes de la comunidad rusa. 

El propietario real utilizó todas las medidas de seguridad que ofrece Telegram.

El administrador real confirmó que antes del secuestro, la autenticación de dos factores estaba conectada a su cuenta, la medida más alta para evitar un posible robo de datos.

Además, en sus sesiones, el administrador no notó “nada anormal” en el momento del robo del canal. Resultó que el atacante de alguna manera logró transferir en secreto los derechos del fundador, así como eliminar a otros administradores y bots vinculados.

Lo que es importante, la transferencia de los derechos del fundador en Telegram solo es posible si el propietario ingresa personalmente su contraseña de la nube en el menú. El administrador real no realizó tales acciones. Al mismo tiempo, también se excluye el acceso físico a sus dispositivos.

El verdadero propietario del canal Reddit Telegram dijo que él y su equipo llevan 3 años trabajando en el proyecto. Durante este período de tiempo, se invirtieron más de € 22 000. Los estafadores han logrado acceder a un canal realmente rentable.

Solo hay 2 preguntas. ¿Cómo podría un extraño obtener los derechos del fundador de un canal sin hackear la cuenta de ese propietario? ¿Qué hacer por aquellas personas cuyos canales pueden haber sido pirateados y/o estarán expuestos en el futuro?

Como lo hicieron?

Kaspersky Lab reveló detalles sobre un archivo malicioso, debido al cual los estafadores robaron el acceso al canal Reddit.

Se trata de malware escondido al archivo enviado al propietario real: Promotion Video.scr – HEUR: Backdoor.Win32.Agent.gen. Este software permite obtener acceso remoto a una ordenador.

Soporte de Telegram actúa muy rápido si es un caso a gran escala pública

Hoy por la noche el equipo de Telegram comenzó a ayudar a los administradores afectados por malware que se distribuía bajo la apariencia de un producto publicitario.

Varios canales de Telegram ya han sido devueltos a sus propietarios originales. Las cuentas de los estafadores han sido baneadas.