Los hackers explotan una vulnerabilidad de día cero de Telegram Desktop

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

Los investigadores de Kaspersky Lab han descubierto ataques realizados mediante un nuevo malware que utiliza una vulnerabilidad desconocida de día cero en la versión de sobremesa de la aplicación Telegram. La vulnerabilidad se utilizó para propagar malware multipropósito, que, dependiendo del PC, se puede usar como un backdoor o como una herramienta para descargar malware de minería. Según la investigación, la vulnerabilidad ha sido explotada activamente desde marzo de 2017 para la funcionalidad de minería de criptomonedas.

Según la investigación, la vulnerabilidad de día cero de Telegram se basó en el método Unicode de RLO (anulación de derecha a izquierda). Generalmente se usa para codificar idiomas escritos de derecha a izquierda, como el árabe o el hebreo, pero también puede ser utilizado por los creadores de malware para inducir a los usuarios a descargar archivos maliciosos disfrazados, por ejemplo, de imágenes. Los artefactos descubiertos durante la investigación indican el origen ruso de los ciberdelincuentes.

Los atacantes utilizaron un carácter Unicode oculto en el nombre del archivo que invirtió el orden de los caracteres, y así cambiaron el nombre del archivo. Como resultado, los usuarios descargaron malware oculto que luego se instaló en sus PC. Kaspersky Lab informó sobre la vulnerabilidad a Telegram y, en el momento de la publicación, la vulnerabilidad no ha vuelto a observarse en los productos de Messenger.

Durante su análisis, los expertos de Kaspersky Lab identificaron varios escenarios de explotación de la vulnerabilidad por parte de los ciberdelincuentes. En primer lugar, la vulnerabilidad se aprovechó para propagar malware de minería, que, utilizando la potencia de computación de los PC de las PC de la víctima, han permitido a los ciberdelincuentes minar diferentes tipos de criptomonedas, incluyendo Monero, Zcash y Fantomcoin. Además, al analizar los servidores de un atacante, los investigadores de encontraron archivos que contenían caché local de Telegram que había sido robada a las víctimas.

En segundo lugar, tras la explotación exitosa de la vulnerabilidad, se instalaba una puerta trasera que usó la API de Telegram como protocolo de comando y control, lo que permitía a los hackers ganar acceso remoto al PC de la víctima. Después de la instalación, comenzaba a funcionar en modo silencioso, pudiendo permanecer desapercibido en la red y ejecutar diferentes comandos, incluida la instalación adicional de herramientas de spyware.

"La popularidad de los servicios de mensajería instantánea es increíblemente alta, y es extremadamente importante que los desarrolladores brinden la protección adecuada a sus usuarios para que no se conviertan en objetivos fáciles para los delincuentes. Hemos encontrado varios escenarios de esta explotación de día cero que, además de malware y spyware en general, se utilizó para propagar software de minería, lo que se ha convertido en una tendencia mundial que hemos visto a lo largo del año pasado. Además, creemos que había otras maneras de abusar de esta vulnerabilidad de día cero", señala Alexey Firsh, analista de Malware de Investigación de Ataques Dirigidos en Kaspersky Lab.