Una vulnerabilità zero-day è stata scoperta nella versione desktop per l’app di messaggistica criptata end-to-end Telegram, che è stata sfruttata per diffondere malware che mina criptovalute come Monero e Zcash.

La vulnerabilità Telegram è stata scoperta dal ricercatore di Kaspersky Lab Alexey Firsh lo scorso Ottobre ed affligge solo il client Windows del software di messaggistica Telegram.

La falla è stata largamente sfruttata da almeno Marzo 2017 da attaccanti che hanno portato le vittime a scaricare software maligni nei loro PC per usare la CPU e minare criptovalute o per controllare remotamente la macchina tramite una backdoor, secondo un blogpost su Securelist.

Ecco come funziona la vulnerabilità Telegram

La vulnerabilità risiede nel modo in cui il client Windows di Telegram gestisce il carattere (U+202E)Unicode RLO (right-to-left override), usata per scrivere in linguaggi scritti da destra a sinistra, come l’Arabo o l’Ebraico.

Secondo Kaspersky Lab, i creatori del malware hanno usato un carattere Unicode RLO nascosto nel nome del file che ha invertito l’ordine dei caratteri, rinominando così il file, e lo hanno inviato agli utenti di Telegram.

Per esempio, quando un attaccante invia un file chiamato “photo_high_re*U+202E*gnp.js” in un messaggo ad un utente Telegram, il nome del file è scritto sullo schermo dell’utente invertendo l’ultima parte.

Perciò, l’utente Telegram vedrà un file immagine PNG (come mostrato nell’immagine sopra, anzichè un file JavaScript, che lo porterà a scaricare file maligni travestiti da immagine.

“Come risultato, gli utenti hanno scaricato malware nascosti che si sono installati nei loro computers”, ha detto Kaspersky nel suo comunicato stampa pubblicato oggi.

Kaspersky Lab ha riportato la vulnerabilità a Telegram e l’azienda ha patchato la vulnerabilità nei suoi prodotti, dato che l’azienda Russa di sicurezza ha detto: “al momento della pubblicazione, la falla zero-day non è stata osservata nei prodotti di messaggistica”.

Gli hackers hanno usato Telegram per infettare i PC con Miner di Criptovalute

Durante l’analisi, i ricercatori di Kaspersky hanno trovato diversi scenari in cui venisse sfruttata la falla zero-day dagli hacker. Principalmente, la falla è stata attivamente sfruttata per distribuire malware per minare criptovalute, che usavano la potenza del PC delle vittime per minare diversi tipi di criptovalute, tra cui Monero, Zcash, Fantomcoin ed altri.

Analizzando i server degli attori maligni, i ricercatori hanno trovato archivi contenenti una cache locale di Telegram che è stata rubata dalle vittime.

In un altro caso, i cybercriminali hanno sfruttato la vulnerabilità per installare un trojan backdoor che usava le API di Telegram come protocollo di comando e controllo, permettendo agli hacker di accedere al computer della vittima.

“Dopo l’installazione, ha iniziato ad agire in maniera silente, permettendo alla minaccia di restare innotata nella rete ed eseguire diversi comandi, tra cui l’installazione di altri strumenti spyware”, ha aggiunto Kaspersky.

Firsh crede che la vulnerabilità zero-day sia stata sfruttata solo dai cybercriminali Russi, dato che “tutti i casi di utilizzo rilevati [dai ricercatori] accadevano in Russia”, e molti artefatti portavano a cybercriminali Russi.

Il miglior modo per proteggersi da questi attacchi è non scaricare o aprire file da fonti sconosciute o incerte.

L’azienda di sicurezza ha anche consigliato agli utenti di evitare la condivisione di qualunque informazione personale nelle app di messaggistica e di assicurarsi di avere un buon software antivirus da un’azienda affidabile installata sui propri sistemi.

Categorie: Senza categoria

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *