Los investigadores de Kaspersky Lab han descubierto ataques realizados por un nuevo malware que se propaga in the wild y se vale de una vulnerabilidad de día cero existente en la aplicación de Telegram para escritorio. Esta vulnerabilidad fue utilizada para propagar un malware que tiene diferentes funciones y que en dependencia de la computadora atacada, se puede usar como puerta trasera o como herramienta para instalar un software extractor de datos. Según la investigación, la vulnerabilidad ha sido explotada activamente desde marzo de 2017 por la funcionalidad de minería de criptomonedas, entre ellas Monero, Zcash, etc.
Los servicios de mensajería social han sido durante mucho tiempo una parte esencial de nuestra vida conectada. Están diseñados para que sea mucho más fácil mantenerse en contacto con amigos y familiares, pero al mismo tiempo pueden complicar considerablemente las cosas si sufren un ataque cibernético. Por ejemplo, el mes pasado Kaspersky Lab publicó una investigación sobre un malware móvil avanzado conocido como el troyano Skygofree, que es capaz de robar mensajes de WhatsApp. Ahora, la más reciente investigación de Kaspersky Lab revela ataques de malware in the wild con una vulnerabilidad nueva, previamente desconocida, en la versión de escritorio de otro popular servicio de mensajería instantánea- Telegram.
Según la investigación, la vulnerabilidad de día cero de Telegram se basa en el método Unicode RLO (anulación de derecha a izquierda), que generalmente se usa para codificar idiomas que se escriben de derecha a izquierda, como el árabe o el hebreo. Sin embargo, también puede ser utilizado por los creadores de malware para inducir engañosamente a los usuarios a bajar archivos maliciosos disfrazados, por ejemplo, de imágenes.
Los atacantes utilizaron un símbolo Unicode oculto en el nombre del archivo que invertía el orden de los caracteres, y así cambiaba el nombre del archivo. Como resultado, los usuarios bajaban malware oculto que entonces quedaba instalado en sus computadoras. Kaspersky Lab le informó sobre esta vulnerabilidad a Telegram y, en el momento de esta publicación, la falla relacionada con el día cero no se ha vuelto a observar en los productos de mensajería.
Durante el análisis, los expertos de Kaspersky Lab identificaron varios escenarios de explotación del día cero por parte de los agentes de amenazas que se propagan libremente. En primer lugar, la vulnerabilidad fue aprovechada para instalar malware extractor (o minero), algo que puede ser muy perjudicial para los usuarios. Mediante la utilización de la potencia de cómputo de la PC de la víctima, los ciberdelincuentes crearon diferentes tipos de criptomonedas, entre ellas, Monero, Zcash y Fantomcoin. Además, al analizar los servidores de un actor de amenazas, los investigadores de Kaspersky Lab encontraron archivos que contenían un caché local con almacenamiento de Telegram que había sido robada a las víctimas.
En segundo lugar, tras la explotación exitosa de la vulnerabilidad, se instalaba una puerta trasera que usaba la API de Telegram como un protocolo de mando y control, lo que daba como resultado que los hackers obtuvieran acceso remoto a la computadora de la víctima. Después de la instalación, comenzaba a funcionar en modo silencioso, lo que le permitía al delincuente permanecer inadvertido en la red y ejecutar diferentes órdenes, incluida la instalación adicional de herramientas de spyware.
Los artefactos descubiertos durante la investigación indican que los ciberdelincuentes son de origen ruso.
“La popularidad de los servicios de mensajería instantánea es increíblemente alta, y es extremadamente importante que los desarrolladores brinden la protección adecuada a sus usuarios para que no se conviertan en objetivos fáciles para los delincuentes.”, dijo Alexey Firsh, analista de malware, Investigación de ataques dirigidos, en Kaspersky Lab. “Hemos encontrado varios escenarios de esta explotación de día cero que, además de malware y spyware en general, se utilizaba para instalar software extractor (minero), y tales infecciones se han convertido en una tendencia mundial que hemos visto a lo largo del año pasado. Además, creemos que había otras maneras en que se aprovechaba esta vulnerabilidad de día cero”.