0-day en Telegram.

Una vulnerabilidad 0-day es conocida como una que aún no ha sido publicada, la misma ha sido encontrada en Telegram para versiones de Escritorio, permite a los atacantes distribuir malware que mina criptomonedas tal como Monero y ZCash.

La vulnerabilidad fue descubierta por el Investigador de Seguridad Alexey Firsh de Kaspersky Lab, el pasado Octubre, afecta solo a clientes de Telegram que utilizan la aplicación de escritorio para Windows.

La falla ha sido explotada activamente desde Marzo del 2017 por atacantes que engañaban a las víctimas para que descarguen un Software Malicioso en sus computadoras, utilizando la potencia de la CPU para minar criptomonedas o ser utilizadas como backdoors por los atacantes para obtener el control de la maquina en forma remota, de acuerdo al blogspot de Securelist.

Como funciona la Vulnerabilidad

La vulnerabilidad reside en los clientes de Escritorio para Windows de Telegram que manejan RLO (sobre escritura de derecha a izquierda) caracter Unicode (U+202E), el cual es usado por lenguajes de codificación que son escritos de derecha a izquierda, tal como Hebreo o Árabe.

Según Kaspersky Lab, el creador del malware utilizaba un caracter Unicode oculto RLO en el nombre de archivo que invertía el orden de los caracteres, por lo tanto, renombraba el archivo a sí mismo y lo enviaba a usuarios de Telegram.

Por ejemplo, cuando un atacante envía un archivo llamado “photo_high_re*U+202E*gnp.js” en el mensaje a un usuario de Telegram, el nombre de archivo vuelve en la pantalla del usuario sin la última parte.

Por tanto, el usuario de Telegram verá un archivo PNG (como se muestra debajo) en vez de un archivo JavaScript, engañado en la descarga en vez de una imagen obtenía un archivo malicioso.

“Como resultado, el usuario descarga un malware oculto el cual es instalado en su computadora, Kaspersky indica que será publicado hoy.”

Kaspersky Lab reportó la vulnerabilidad a Telegram y la compañía desde entonces ha parchado la vulnerabilidad en sus productos, también un equipo Ruso de seguridad afirma:” cuando publiquen, la falla 0-day, la misma no ha sido observada en los productos del cliente de mensajería”.

Hackers utilizan Telegram para minar criptomonedas

Underc0de - Telegram 0Day

Durante el análisis, los investigadores de Kaspersky encontraron diferentes escenarios de explotación 0-day en diferentes vectores de ataque.

Primero, la falla fue activamente explotada para el minado de criptomonedas, el cual utiliza la potencia de computo de la PC de la victima para minar diferentes tipos de monedas, como: Monero, ZCash, Fantomcoin y otros.

Mientras analizaban los servidores de los atacantes, los investigadores también descubrieron archivos que contienen un cache local de Telegram robado de las víctimas.

En otros casos, los ciber-criminales explotaban exitosamente la vulnerabilidad al instalar un backdoor que utilizaba la API de Telegram como protocolo C&C, permitiendo a los atacantes obtener acceso remoto a la computadora de las víctimas.

“Luego de la instalación, comenzaba a operar en modo silencioso, el cual permitía al atacado no tomar conocimiento en la red y ejecutar diferentes comandos incluyendo la instalación de Spyware”.

Firsh cree que el 0-day fue explotada únicamente por cibercriminales Rusos, como “Los casos de explotación que (los investigadores) detectan ocurre en Rusia” y otras artimañas apuntan a los ciber criminales Rusos.

El mejor modo de protegerse frente a los ataques es No descargar o abrir archivos de fuentes desconocidas

La firma de seguridad, recomienda a los usuarios evitar compartir información sensible o personal en grupos de mensajería y asegurarse de poseer un AntiVirus de fuentes conocidas instalado en los sistemas.


Fuente: 0-Day en Telegram. Hackers News


Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">