Los expertos en ciberespacio han advertido a los usuarios de una nueva campaña maliciosa que se extiende a través de un sitio web premium falso premium. El sitio, alojado en Telegrampremium[.]Aplicación, visitantes para descargar un malware peligroso llamado Lumma Stealer, que puede robar información confidencial, como contraseñas almacenadas, detalles de la billetera de cifrado y datos del sistema.
Según los investigadores de Cyfirma, el sitio se parece al servicio oficial de Telegram de Premium, pero en secreto empuja un archivo llamado Start.exe. La parte preocupante es que este archivo se carga automáticamente tan pronto como alguien visita la página sin requerir clics. Instruido en C/C ++, el malware utiliza técnicas de ocultación avanzadas que lo ayudan a evitar los escaneos tradicionales de protección del virus.
¿Cómo funciona el malware?
Una vez que el software malicioso está activo, inmediatamente comienza a recopilar datos. Puede dibujar detalles de conexión almacenados en navegadores, copiar información sobre billetera de cifrado e incluso registros de datos relacionados con el sistema. Los investigadores cibernéticos advierten que esto pone al usuario en riesgo de robo de identidad y pérdida financiera.
El malware también está diseñado para permanecer oculto. Utiliza la ofuscación de criptores, lo que dificulta la detección de herramientas de seguridad. Presenta muchas funciones de Windows que le permiten manejar archivos, cambiar la configuración del registro, realizar escenarios ocultos y cubrir sus piezas.
Curiosamente, el malware también está vinculado a servicios reales como la comunidad Telegram y Steam, lo que ayuda a evitar sospechas al enviar datos robados a áreas ocultas. Los expertos creen que los atacantes están utilizando áreas registradas recientemente para campañas cortas, lo que dificulta que las autoridades las cierren rápidamente.
El malware también reduce los archivos disfrazados en la carpeta temporal del sistema. Algunos archivos están encriptados para parecerse a imágenes inofensivas, pero luego se convierten en escenarios que mantienen el software malicioso en su fondo. También retrasa la ejecución para evitar la captura durante los controles de seguridad.
Cómo mantenerse a salvo
Los expertos en ciberespacio recomiendan una mezcla de garantías técnicas y conciencia de los usuarios para que permanezcan protegidos de amenazas como Lumma Stealer.
- Use herramientas avanzadas de detección de puntos finales que monitoreen la actividad inusual, como los cambios de archivo ocultos o las conexiones sospechosas, lo que facilita la ubicación de malware nuevo y en evolución.
- Excluir áreas maliciosas y limitar las tomas de los sitios web no remunerados para evitar instalaciones automáticas, como la utilizada en esta campaña de telegrama falso.
- Habilite la autenticación de factores múltiples (MFA) en cuentas importantes. Incluso si se roban las contraseñas, el MFA proporciona una capa adicional de seguridad que puede evitar el acceso no autorizado.
- Gire las credenciales de inicio de sesión regularmente para reducir el riesgo de compromiso de cuenta a largo plazo. Cambiar las contraseñas a menudo limita cuánto tiempo la información robada sigue siendo útil para los atacantes.
- Monitoree la actividad del sistema y la red constantemente por un comportamiento sospechoso, como conexiones inesperadas, transferencias de datos o procedimientos inusuales realizados en segundo plano.
Lo más importante: descargue un telegrama premium solo de fuentes oficiales. Los sitios falsos pueden parecer convincentes, pero la gira cuidadosa es la defensa más fuerte.
Compilado por: Aishwarya Faraswal