Nuevo ataque a la app Telegram con una vulnerabilidad zero-day

Los analistas de Kaspersky Lab han descubierto ataques ‘in the Wild’ que llevan una nueva pieza de malware que explota una vulnerabilidad zero-day en la aplicación Telegram Desktop. La vulnerabilidad se usó para expandir malware multiuso que dependiendo del equipo puede utilizarse como un backdoor o como una herramienta para distribuir software de minería. Según la investigación, esta vulnerabilidad se ha explotado activamente desde marzo de 2017 para la funcionalidad de minería de criptomoneda, incluyendo Monero, Zcash, etc.

Los servicios de mensajería son desde hace mucho tiempo una parte esencial de nuestra vida conectada. Al mismo tiempo, pueden complicar mucho las cosas si sufrimos un ciberataque. Por ejemplo, el mes pasado Kaspersky Lab publicó un informe sobre el troyano Skygofree que es capaz de robar mensajes de WhatsApp. Los expertos fueron capaces de identificar los ataques ‘ in the Wild ‘ con una nueva vulnerabilidad, previamente desconocida, en la versión de escritorio de otro popular servicio de mensajería instantánea.

Según la investigación, la vulnerabilidad de zero-day de Telegram se basó en el método Unicode de RLO (right-to-left override). Se utiliza generalmente para codificar idiomas que se escriben de derecha a izquierda, como el árabe o el hebreo. Además, también puede utilizarse por los creadores de malware para inducir a los usuarios a la descarga de archivos maliciosos disfrazados, por ejemplo, como imágenes.

Los ciberdelincuentes utilizaron un carácter oculto Unicode en el nombre de archivo que invierte el orden de los caracteres, dando otro nombre al propio archivo. Como resultado, los usuarios descargaron malware oculto que luego se instala en sus equipos. Kaspersky Lab informó de la vulnerabilidad a Telegram y, desde el momento de la publicación, el fallo zero-day no está.

Durante su análisis, los expertos de Kaspersky Lab identificaron varios escenarios de explotación “in the Wild”. En primer lugar, la vulnerabilidad se explotó para instalar malware de minería usando la potencia y los recursos de la víctima para crear diferentes tipos de criptomoneda (Monero, Zcash, Fantomcoin y otros). En segundo lugar instaló un backdoor que usaba la API de Telegram como protocolo de Comando&Control, lo que daba a los hackers acceso remoto al equipo de la víctima. Después de la instalación, funciona en un modo silencioso, lo que permite que el actor de la amenaza pase inadvertido en la red e instale herramientas de spyware.

Las muestras descubiertas durante la investigación indican los orígenes rusos de los ciberdelincuentes.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *