Se descubrió una vulnerabilidad de día cero en la versión de escritorio para la popular aplicación de mensajería Telegram que tiene como una de sus grandes virtudes la encriptación de extremo a extremo, que es justamente lo que ha explotado este malware para propagarse y que como todo malware de última generación tenía por objetivo el minado de criptomonedas como Monero y ZCash.

La vulnerabilidad de Telegram fue descubierta por el investigador de seguridad Alexey Firsh de Kaspersky Lab y esta sólo afecta al cliente de Windows de Telegram.

La vulnerabilidad no es nueva ha sido explotada activamente en Internet desde marzo del 2017 por atacantes que engañaron a las víctimas para descargar software malicioso en sus computadoras para luego usar su poder de computo para minar criptomonedas o servir como puerta trasera para que los atacantes controlaran remotamente la máquina afectada, según un el post de Frish en Securelist.

¿Cómo funciona la vulnerabilidad?

La vulnerabilidad reside en la forma en que el cliente de Telegram para Windows maneja el carácter Unicode de RLO (anulación de derecha a izquierda) (U+202E), que se usa para codificar idiomas que se escriben de derecha a izquierda, como árabe o hebreo.

Según Kaspersky Lab, los creadores de malware utilizaron un carácter oculto de RLO Unicode en el nombre del archivo que invirtió el orden de los caracteres, por lo que renombró el nombre del archivo y se lo envió a los usuarios de Telegram.

Por ejemplo, cuando un atacante envía un archivo llamado “photo_high_reU+202Egnp.js” en un mensaje a un usuario de Telegram, el nombre del archivo se representa en la pantalla de los usuarios invirtiendo la última parte.

Por lo tanto, el usuario de Telegram verá un archivo de imagen PNG entrante (como se muestra en la imagen a continuación) en lugar de un archivo JavaScript, lo que lleva a la descarga del archivos que contiene el malware disfrazados como un archivo de imagen:

Kaspersky Lab informó sobre la vulnerabilidad a Telegram y la compañía reparó la vulnerabilidad en sus productos, como dijo la empresa de seguridad rusa en su blog: “en el momento de la publicación, la falla de día cero no se ha observado desde entonces en los productos de Messenger“.

Durante el análisis de la falla de seguridad, los investigadores de Kaspersky encontraron varios escenarios de explotación de día cero en Internet por parte de los ciberdelincuentes. Principalmente, la falla fue explotada activamente para entregar malware de minería de criptomonedas, que usa la potencia de cómputo del PC de la víctima para extraer distintos tipos de criptomonedas, entre ellas las más comunes son Monero, Zcash y Fantomcoin.

Al analizar los servidores usados por los ciberdelincuentes para el comando y control de la red de minería de criptomonedas, los investigadores también encontraron archivos que contenían un caché local de Telegram que había sido robado a las víctimas.

También se descubrió que los cibercriminales explotaron con éxito la vulnerabilidad para instalar un troyano de puerta trasera que usaba el API de Telegram como un protocolo para comando y control, lo que permitía a los cibercriminales obtener acceso remoto a la computadora de la víctima.

Firsh cree que la vulnerabilidad de día cero fue explotada sólo por ciberdelincuentes rusos, ya que “todos los casos de explotación que [los investigadores] detectaron ocurrían en Rusia” y mucho de lo descubierto hasta hoy sobre cómo era explotada la vulnerabilidad apunta a ciberdelincuentes rusos.

La mejor manera de protegerse de tales ataques es no descargar o abrir archivos de fuentes desconocidas o no confiables.

Kaspersky también recomendó a los usuarios evitar compartir información personal confidencial en las aplicaciones de mensajería y asegurarse de tener un buen software antivirus de una compañía confiable instalada en sus sistemas.

Anuncios