Investigadores de Kaspersky Lab han descubierto ataques in the wild en Telegram gracias a la explotación de una vulnerabilidad de día cero en la aplicación para escritorio. El aprovechamiento de este agujero, comprobado según la firma de seguridad en Telegram para Windows, permitió la propagación de dos tipos de malware: uno abría una puerta trasera en los equipos y otro los empleaba para minar criptomonedas como Monero o Zcash, entre otras.

La vulnerabilidad de la popular aplicación de mensajería nacida en Rusia se basa, de acuerdo a la investigación, en el método conocido como RTLO o anulación de derecha a izquierda. La práctica aprovecha el sistema que integra Windows para tratar los idiomas que se escriben de derecha a izquierda para engañar a los usuarios y disfrazar archivos maliciosos como imágenes.

Incluso en la notificación de seguridad de Windows el nombre del fichero JavaScript aparecía como PNG

En este caso, los atacantes empleaban un carácter Unicode oculto en el nombre del archivo que invierte el orden de los caracteres transformándolo por completo. De este modo, un fichero Javascript llamado "photo-high-regnp.js" pasaba a llamarse "photo-high-resj.png". Haciendo clic en el archivo, se permitía la descarga previa notificación de seguridad estándar de Windows en el que el nombre también estaba alterado y se mostraba como PNG.

También era posible instalar una puerta trasera para obtener acceso remoto

Una vez descargado e instalado en el sistema, el malware abría varias posibilidades a los atacantes. Los investigadores de Kaspersky Lab descubrieron, según explican, que la …