Especialistas de Kaspersky han descubierto ataques realizados por un nuevo malware que se propaga y explota una vulnerabilidad de día cero dentro de la versión de escritorio Telegram.
El malware tiene diferentes funciones, como servir de puerta trasera o como herramienta para instalar software espía. En este caso, Kaspersky detectó que vulnerabilidad ha sido explotada desde marzo de 2017 para minar criptomonedas como Monero, Zcash, etc.
¿Cómo funciona la vulnerabilidad?
De acuerdo con la investigación, la vulnerabilidad en la aplicación de mensajería utiliza un método Unicode RLO (anulación de derecha a izquierda), es decir, lee de manera inversa a como leemos en occidente. Pero también puede ser utilizado por los creadores de malware para inducir engañosamente a los usuarios a bajar archivos maliciosos disfrazados, por ejemplo, de imágenes.
Así dice parte del comunicado de Kaspersky:
“La vulnerabilidad fue aprovechada para instalar malware extractor algo que puede ser muy perjudicial para los usuarios. Mediante la utilización de la potencia de cómputo de la PC de la víctima, los ciberdelincuentes crearon diferentes tipos de criptomonedas, entre ellas, Monero, Zcash y Fantomcoin. Además, al analizar los servidores de un actor de amenazas, los investigadores de Kaspersky Lab encontraronvarchivos que contenían un caché local con almacenamiento de Telegram que había sido robada a las víctimas”.
Por si fuera poco, luego de la explotación exitosa de la vulnerabilidad, se instala una puerta trasera que usaba la API de Telegram como un protocolo de mando y control. Luego de la instalación, el malware comenzaba a funcionar en modo silencioso, lo que le …