Se descubrió una vulnerabilidad zero-day en la versión de escritorio para la aplicación de mensajería de Telegram encriptada de extremo a extremo que se estaba explotando para propagar malware que minaba criptomonedas como Monero y ZCash.

La vulnerabilidad de Telegram fue descubierta por el investigador de seguridad Alexey Firsh de Kaspersky Lab en octubre pasado y afecta solo al cliente de Windows del software de mensajería Telegram.

La falla ha sido explotada activamente desde marzo de 2017 por atacantes que engañaron a las víctimas para descargar software malicioso en sus computadoras que usaban el poder de CPU para extraer criptomonedas o servir como puerta trasera para que los atacantes controlaran remotamente la máquina afectada, según un blogpost en Securelist.

Así es cómo funciona la vulnerabilidad en Telegram

La vulnerabilidad reside en la forma en que el cliente de Telegram Windows maneja el carácter Unicode de RLO (anulación de derecha a izquierda) (U + 202E), que se usa para codificar idiomas que se escriben de derecha a izquierda, como árabe o hebreo.

Según Kaspersky Lab, los creadores de malware utilizaron un carácter oculto de RLO Unicode en el nombre del archivo que invirtió el orden de los caracteres, por lo que renombró el nombre del archivo y se lo envió a los usuarios de Telegram.

Por ejemplo, cuando un atacante envía un archivo llamado «photo_high_re * U + 202E * gnp.js» en un mensaje a un usuario de Telegram, el nombre del archivo se representa en la pantalla de los usuarios volteando la última parte.

Por lo tanto, el usuario de Telegram verá un archivo de imagen PNG entrante (como se muestra en la imagen a continuación) en lugar de un archivo JavaScript, lo que lleva a la descarga de archivos maliciosos disfrazados como la imagen.

«Como resultado, los usuarios descargaron malware oculto que luego se instaló en sus computadoras», dice Kaspersky en su comunicado de prensa publicado hoy.

Kaspersky Lab informó sobre la vulnerabilidad a Telegram y la compañía revisó la vulnerabilidad de sus productos, como dijo la empresa de seguridad rusa: «en el momento de la publicación, la falla de día cero no se ha observado desde entonces en los productos de Messenger».

Los hackers utilizaron Telegram para infectar PC con mineria de criptomonedas

Al analizar los servidores de actores maliciosos, los investigadores también encontraron archivos que contenían un caché local de Telegram que había sido robado a las víctimas.

En otro caso, los cibercriminales explotaron con éxito la vulnerabilidad para instalar un troyano backdoor que utilizaba la API de Telegram como un protocolo de comando y control, lo que permitía a los hackers obtener acceso remoto a la computadora de la víctima.

«Después de la instalación, comenzó a funcionar en modo silencioso, lo que permitió que el creador de amenazas permaneciera desapercibido en la red y ejecutara diferentes comandos, incluida la instalación adicional de herramientas de spyware», agregó la empresa.

Firsh cree que la vulnerabilidad zero-day fue explotada solo por ciberdelincuentes rusos, como «todos los casos de explotación que [los investigadores] detectaron que ocurrían en Rusia», y muchos artefactos apuntaban a los ciberdelincuentes rusos.

La mejor manera de protegerse de tales ataques no es descargar o abrir archivos de fuentes desconocidas o no confiables.

La empresa de seguridad también recomendó a los usuarios evitar compartir información personal confidencial en las aplicaciones de mensajería y asegurarse de tener un buen software antivirus de una compañía confiable instalada en sus sistemas.

Danos tu reacción

0
Me encanta
0
Me alegra
0
Me sorprende
0
Me entristese
0
Me enoja