Kaspersky Lab anuncia ataques realizados en Telegram por un nuevo malware que aprovecha una vulnerabilidad de día cero en la aplicación para escritorio.
Alexey Firsh, analista de malware, Investigación de Ataques Dirigidos, afirma: ‘La popularidad de los servicios de mensajería instantánea es increíblemente alta, y es extremadamente importante que los desarrolladores brinden la protección adecuada a sus usuarios para que no se conviertan en objetivos fáciles para los delincuentes’.
‘Hemos encontrado varios escenarios de esta explotación de día cero que, además de malware y spyware en general, se utilizaba para instalar software extractor (minero), y tales infecciones se han convertido en una tendencia mundial que hemos visto a lo largo del año pasado. Además, creemos que había otras maneras en que se aprovechaba esta vulnerabilidad de día cero’, añade.
Esta vulnerabilidad, que se basa en el método Unicode RLO (anulación de derecha a izquierda), es utilizada para propagar un malware que tiene diferentes funciones y, que en dependencia de la computadora atacada, se puede usar como puerta trasera o como herramienta para instalar un software extractor de datos. Según la investigación de la empresa, la vulnerabilidad ha sido explotada activamente desde marzo de 2017 por esta funcionalidad de minería de criptomonedas.
Mediante la utilización de la potencia de cómputo de la PC de la víctima, los ciberdelincuentes crean diferentes tipos de criptomonedas, entre ellas Monero, Zcash y Fantomcoin. Los atacantes utilizaron un símbolo Unicode oculto en el nombre del archivo que invertía el orden de los caracteres y, así, cambiaba el nombre del archivo. Como resultado, los usuarios han descargado malware oculto.
Como segundo punto, los atacantes instalan una puerta trasera que usa la API de la app como un protocolo de mando y control, lo que permite que los hackers obtengan acceso remoto a la computadora de la víctima. Después de la instalación, funciona en modo silencioso, lo que permite permanecer inadvertido en la red y ejecutar diferentes órdenes, incluida la instalación adicional de herramientas de spyware.
Los artefactos descubiertos durante la investigación indican que los ciberdelincuentes son de origen ruso. En este marco, los productos de Kaspersky Internet Security o Free detectan y bloquean los casos de explotación.