Uma vulnerabilidade de dia zero foi descoberta na versão da área de trabalho para o aplicativo de mensagens de Telegram criptografado de ponta a ponta que estava sendo explorado na natureza, a fim de espalhar malwares que minam cryptocurrencies como Monero e ZCash.
A vulnerabilidade Telegram foi descoberta pelo pesquisador de segurança Alexey Firsh da Kaspersky Lab em outubro passado e afeta apenas o cliente Windows do software de mensagens Telegram.
A falha foi ativamente explorada na vida selvagem desde pelo menos março de 2017 por atacantes que enganaram as vítimas ao download de softwares mal-intencionados em seus PCs que usavam seu poder de CPU para mina cryptocurrencies ou servem como backdoor para atacantes para controlar remotamente a máquina afetada, de acordo com um blogposto em Securelist.
A vulnerabilidade reside na forma como o cliente Telegram Windows lida com o caractere Unicode (U + 202E) do RLO (direito a esquerda), que é usado para codificar idiomas que são escritos da direita para a esquerda, como árabe ou hebraico.
De acordo com a Kaspersky Lab, os criadores de malware usaram um caractere escondido do RLO Unicode no nome do arquivo que reverteu a ordem dos caracteres, renomeando o próprio arquivo e enviando para os usuários do Telegram.
A vulnerabilidade Telegram foi descoberta pelo pesquisador de segurança Alexey Firsh da Kaspersky Lab em outubro passado e afeta apenas o cliente Windows do software de mensagens Telegram.
A falha foi ativamente explorada na vida selvagem desde pelo menos março de 2017 por atacantes que enganaram as vítimas ao download de softwares mal-intencionados em seus PCs que usavam seu poder de CPU para mina cryptocurrencies ou servem como backdoor para atacantes para controlar remotamente a máquina afetada, de acordo com um blogposto em Securelist.
Veja como funciona a vulnerabilidade de Telegram
A vulnerabilidade reside na forma como o cliente Telegram Windows lida com o caractere Unicode (U + 202E) do RLO (direito a esquerda), que é usado para codificar idiomas que são escritos da direita para a esquerda, como árabe ou hebraico.
De acordo com a Kaspersky Lab, os criadores de malware usaram um caractere escondido do RLO Unicode no nome do arquivo que reverteu a ordem dos caracteres, renomeando o próprio arquivo e enviando para os usuários do Telegram.
Por exemplo, quando um atacante envia um arquivo chamado "photo_high_re * U + 202E * gnp.js" em uma mensagem para um usuário do Telegram, o nome do arquivo é exibido na tela do usuário, que gira a última parte.
Portanto, o usuário do Telegram verá um arquivo de imagem PNG recebido (como mostrado na imagem abaixo) ao invés de um arquivo JavaScript, enganando o download de arquivos maliciosos disfarçados de imagem.
"Como resultado, os usuários baixaram o malware oculto que foi instalado em seus computadores", diz Kaspersky em seu comunicado de imprensa publicado hoje.
A Kaspersky Lab relatou a vulnerabilidade à Telegram e a empresa já corrigiu a vulnerabilidade em seus produtos, como afirmou a empresa de segurança russa: "no momento da publicação, a falha do dia zero não foi observada nos produtos da messenger".
Hackers Usaram Telegram para Infectar PCs com Mineradores Cryptocurrency
Durante a análise, os pesquisadores da Kaspersky encontraram vários cenários de exploração do dia zero na natureza por atores de ameaças. Principalmente, a falha foi ativamente explorada para fornecer malware de mineração de criptografia, que usa o poder de computação PC da vítima para explorar diferentes tipos de criptografia, incluindo Monero, Zcash, Fantomcoin e outros.
Ao analisar os servidores de atores mal-intencionados, os pesquisadores também encontraram arquivos contendo um cache local de Telegram que havia sido roubado de vítimas.
Ao analisar os servidores de atores mal-intencionados, os pesquisadores também encontraram arquivos contendo um cache local de Telegram que havia sido roubado de vítimas.
Em outro caso, os cibercriminosos exploraram com sucesso a vulnerabilidade para instalar um trojan de backdoor que usava a API Telegram como um protocolo de comando e controle, permitindo que os hackers obtenham acesso remoto ao computador da vítima.
"Após a instalação, ele começou a operar em um modo silencioso, o que permitiu que o ator ameaça permanecer despercebido na rede e executar comandos diferentes, incluindo a instalação adicional de ferramentas de spyware", acrescentou a empresa.
A Firsh acredita que a vulnerabilidade do dia zero foi explorada apenas pelos cibercriminosos russos, como "todos os casos de exploração que [os pesquisadores] detectados ocorreram na Rússia", e muitos artefatos apontaram para os cibercriminosos russos.
A melhor maneira de se proteger de tais ataques não é baixar ou abrir arquivos de fontes desconhecidas ou não confiáveis.
A empresa de segurança também recomendou aos usuários evitar o compartilhamento de informações pessoais sensíveis em aplicativos de mensagens e certifique-se de ter um bom software antivírus de uma empresa confiável instalada em seus sistemas.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário