Los servicios de mensajería son desde hace mucho tiempo uno de los  blancos preferidos de los ciberdelincuentes que, cada vez más, utilizan este tipo de aplicaciones para estafar a millones de usuarios.

Así, los analistas de Kaspersky Lab han descubierto ataques ‘in the Wild’ que llevan una nueva pieza de malware que explota una vulnerabilidad zero-day en la aplicación Telegram Desktop.

La vulnerabilidad, utilizada para expandir malware multiuso que dependiendo del equipo puede utilizarse como un backdoor o como una herramienta para distribuir software de minería, se ha explotado activamente desde marzo de 2017 para la funcionalidad de minería de criptomoneda.

Según la investigación, la vulnerabilidad de zero-day de Telegram se basó en el método Unicode de RLO (right-to-left override). Se utiliza generalmente para codificar idiomas que se escriben de derecha a izquierda, como el árabe o el hebreo. Además, también puede utilizarse por los creadores de malware para inducir a los usuarios a la descarga de archivos maliciosos disfrazados.

Los ciberdelincuentes utilizaron un carácter oculto Unicode en el nombre de archivo que invierte el orden de los caracteres, dando otro nombre al propio archivo. Como resultado, los usuarios descargaron malware oculto que luego se instala en sus equipos.

Los expertos de Kaspersky Lab informaron de la vulnerabilidad a Telegram quien ya ha solucionado el fallo zero-day. Sin embargo, para mantenerse a salvo, se recomienda a los usuarios:

  • No descargues y abras archivos desconocidos de fuentes no fiables
  • Trata de evitar compartir información personal sensible en mensajería instantánea
  • Instala una solución de seguridad como Kaspersky Internet que detecte y proteja de todas las posibles amenazas, incluyendo software malicioso de minería.

Durante su análisis, los expertos de Kaspersky Lab identificaron varios escenarios de explotación “in the Wild”. En primer lugar, la vulnerabilidad se explotó para instalar malware de minería usando la potencia y los recursos de la víctima para crear diferentes tipos de criptomoneda (Monero, Zcash, Fantomcoin y otros).

En segundo lugar instaló un backdoor que usaba la API de Telegram como protocolo de Comando&Control, lo que daba a los hackers acceso remoto al equipo de la víctima. Después de la instalación, funciona en un modo silencioso, lo que permite que el actor de la amenaza pase inadvertido en la red e instale herramientas de spyware.

Rusia ¿detrás del zero-day?

Las muestras descubiertas durante la investigación llevada a cabo por los expertos de Kaspersky Lab indican los orígenes rusos de los ciberdelincuentes.

Alexey Firsh, analista de malware, investigación de ataques dirigidos, Kaspersky Lab afirma que “La popularidad de los servicios de mensajería instantánea es muy alta, por lo que es importante que los desarrolladores proporcionen una protección adecuada a sus usuarios para que no se conviertan en blancos fáciles para los delincuentes“. Y es que, estas infecciones se han convertido en una tendencia global que hemos visto durante el último año y parece que seguirán aumentando en los próximos meses.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario