Telegram: se descubre una vulnerabilidad para minar criptomonedas

Kaspersky Lab ha anunciado el descubrimiento de una vulnerabilidad de día cero en Telegram para minar criptomonedas, con ataques realizados por un nuevo malware que se propaga ‘in the wild’ y se vale de una vulnerabilidad de día cero existente en la aplicación de Telegram para escritorio.

Esta vulnerabilidad, dicen los expertos, “fue utilizada para propagar un malware que tiene diferentes funciones y que en dependencia de la computadora atacada, se puede usar como puerta trasera o como herramienta para instalar un software extractor de datos”. Según la investigación, la vulnerabilidad ha sido explotada activamente desde marzo de 2017 por la funcionalidad de minería de criptomonedas, entre ellas Monero, Zcash, etc.

Los medios sociales son muy usados para ataques, como recuerda Kaspersky Lab. De hecho, el pasado mes, la empresa publicó una investigación sobre un malware móvil avanzado conocido como el troyano Skygofree, que es capaz de robar mensajes de WhatsApp. Ahora, la más reciente investigación de Kaspersky Lab revela ataques de malware in the wild con una vulnerabilidad nueva, previamente desconocida, en la versión de escritorio de otro popular servicio de mensajería instantánea Telegram.

Según la investigación, la vulnerabilidad de día cero de Telegram se basa en el método Unicode RLO (anulación de derecha a izquierda), que generalmente se usa para codificar idiomas que se escriben de derecha a izquierda, como el árabe o el hebreo. Sin embargo, también puede ser utilizado por los creadores de malware para inducir engañosamente a los usuarios a bajar archivos maliciosos disfrazados, por ejemplo, de imágenes. “Los atacantes utilizaron un símbolo Unicode oculto en el nombre del archivo que invertía el orden de los caracteres, y así cambiaba el nombre del archivo. Como resultado, los usuarios bajaban malware oculto que entonces quedaba instalado en sus computadoras. Kaspersky Lab le informó sobre esta vulnerabilidad a Telegram y, en el momento de esta publicación, la falla relacionada con el día cero no se ha vuelto a observar en los productos de mensajería”.

Durante el análisis, los expertos de Kaspersky Lab identificaron varios escenarios de explotación del día cero por parte de los agentes de amenazas que se propagan libremente. En primer lugar, la vulnerabilidad fue aprovechada para instalar malware extractor (o minero), algo que puede ser muy perjudicial para los usuarios. En segundo lugar, tras la explotación exitosa de la vulnerabilidad, se instalaba una puerta trasera que usaba la API de Telegram como un protocolo de mando y control, lo que daba como resultado que los hackers obtuvieran acceso remoto a la computadora de la víctima.

“La popularidad de los servicios de mensajería instantánea es increíblemente alta, y es extremadamente importante que los desarrolladores brinden la protección adecuada a sus usuarios para que no se conviertan en objetivos fáciles para los delincuentes.”, dijo Alexey Firsh, analista de malware, Investigación de ataques dirigidos, en Kaspersky Lab.