Especialistas de Kaspersky han descubierto ataques realizados por un nuevo malware que se propaga y explota una vulnerabilidad de día cero dentro de la versión de escritorio Telegram.
El malware tiene diferentes funciones, como servir de puerta trasera o como herramienta para instalar software espía. En este caso, Kaspersky detectó que vulnerabilidad ha sido explotada desde marzo de 2017 para minar criptomonedas como Monero, Zcash, etc.
¿Cómo funciona la vulnerabilidad?
De acuerdo con la investigación, la vulnerabilidad en la aplicación de mensajería utiliza un método Unicode RLO (anulación de derecha a izquierda), es decir, lee de manera inversa a como leemos en occidente. Pero también puede ser utilizado por los creadores de malware para inducir engañosamente a los usuarios a bajar archivos maliciosos disfrazados, por ejemplo, de imágenes.
Así dice parte del comunicado de Kaspersky:
“La vulnerabilidad fue aprovechada para instalar malware extractor algo que puede ser muy perjudicial para los usuarios. Mediante la utilización de la potencia de cómputo de la PC de la víctima, los ciberdelincuentes crearon diferentes tipos de criptomonedas, entre ellas, Monero, Zcash y Fantomcoin. Además, al analizar los servidores de un actor de amenazas, los investigadores de Kaspersky Lab encontraronvarchivos que contenían un caché local con almacenamiento de Telegram que había sido robada a las víctimas”.
Por si fuera poco, luego de la explotación exitosa de la vulnerabilidad, se instala una puerta trasera que usaba la API de Telegram como un protocolo de mando y control. Luego de la instalación, el malware comenzaba a funcionar en modo silencioso, lo que le permitía al delincuente permanecer inadvertido en la red y ejecutar diferentes órdenes, incluida la instalación adicional de herramientas de spyware.
¿Cómo protejo mi PC?
Kaspersky Lab le recomienda lo siguiente:
- No bajes ni abras archivos desconocidos de fuentes que no sean de confianza.
- Trata de evitar compartir información personal o confidencial en mensajería instantánea.
- Instala una solución de seguridad confiable que detecte y proteja de todas las amenazas posibles, incluido el software malicioso de extracción (minería). En el caso de la compañía de seguridad existen Kaspersky Internet Security o Kaspersky Free.
La investigación indica que los hackers son de origen ruso. Kaspersky ya le informó a la compañía obre la vulnerabilidad, pero hasta el momento Telegram no ha trabajado en una solución.
