Investigadores de Kaspersky Lab han descubierto ataques in the wild en Telegram gracias a la explotación de una vulnerabilidad de día cero en la aplicación para escritorio. El aprovechamiento de este agujero, comprobado según la firma de seguridad en Telegram para Windows, permitió la propagación de dos tipos de malware: uno abría una puerta trasera en los equipos y otro los empleaba para minar criptomonedas como Monero o Zcash, entre otras.
La vulnerabilidad de la popular aplicación de mensajería nacida en Rusia se basa, de acuerdo a la investigación, en el método conocido como RTLO o anulación de derecha a izquierda. La práctica aprovecha el sistema que integra Windows para tratar los idiomas que se escriben de derecha a izquierda para engañar a los usuarios y disfrazar archivos maliciosos como imágenes.
En este caso, los atacantes empleaban un carácter Unicode oculto en el nombre del archivo que invierte el orden de los caracteres transformándolo por completo. De este modo, un fichero Javascript llamado "photo-high-regnp.js" pasaba a llamarse "photo-high-resj.png". Haciendo clic en el archivo, se permitía la descarga previa notificación de seguridad estándar de Windows en el que el nombre también estaba alterado y se mostraba como PNG.
También era posible instalar una puerta trasera para obtener acceso remoto
Una vez descargado e instalado en el sistema, el malware abría varias posibilidades a los atacantes. Los investigadores de Kaspersky Lab descubrieron, según explican, que la vulnerabilidad fue explotada para entregar malware de minería destinado a aprovechar los recursos de los equipos de las víctimas para extraer criptomonedas como Monero, Zcash, Fantomcoin y otras.
Además, analizando los servidores de un atacante encontraron archivos que contenían cachés locales de Telegram robadas a las víctimas. Otro punto negativo para la seguridad de la aplicación de mensajería.
El segundo de los escenarios, explican desde la firma de seguridad rusa, es la explotación del fallo para instalar una puerta trasera que hace uso de la API de Telegram como protocolo de mando y control. Lo cual significa que los atacantes pudieron obtener acceso remoto a los equipos de los usuarios afectados, sin ser detectados, pudiendo llevar a cabo diferentes acciones como la instalación posterior de herramientas de spyware.
Según los investigadores, la vulnerabilidad ha sido activamente explotada por ciberdelincuentes rusos desde marzo de 2017 en Windows, aunque desconocen cuánto tiempo y qué versiones se vieron afectadas. Desde Kaspersky se avisó de la vulnerabilidad a los responsables de Telegram y, desde entonces, aseguran que no se ha detectado de nuevo en los productos del servicio de mensajería.
En Genbeta | Se filtra el white paper de la ICO de Telegram, una de las criptomonedas con más potencial
Ver 4 comentarios