O pesquisador de segurança Alexey Firsh da Kapersky Lab descobriu que um zero-day do Telegram Desktop foi usado para ataques.

A má notícia é que esta falha zero-day do Telegram estava sendo explorada por alguns meliantes virtuais para distribuir programas que faziam mineração de Monero e Zcash.

De acordo com o especialista os atacantes exploravam a vulnerabilidade desde março de 2017 e com isto, eles conseguiam enganar os usuários para que fizessem o download de mineradores de criptomoedas ou para abrir um backdoor no sistema do usuário.

“Em Outubro achamos uma vulnerabilidade no cliente Windows do Telegram Messenger que estava sendo explorada. Envolve o uso de um clássico ataque right-to-left override quando um usuário envia arquivos pelo serviço de mensagens” , na análise do especialista.

A falha está relacionada a forma como o cliente Windows do Telegram lida com o caractere Unicode ( U + 202E ) do RLO ( direita para a esquerda ) que é usado para qualquer idioma que use um modelo de escrita da direita para a esquerda como o árabe ou hebráico.

Os atacantes usaram um caractere oculto RLO Unicode no nome do arquivo que reverteu a ordem dos caracteres, e com isto o nome do arquivo pode ser renomeado.

Em um cenário real os atacantes enviaram o arquivo para um alvo.

evil.js -> photo_high_re*U+202E*gnp.js (— *U+202E* é o caracter RLO )

O caracter RLO incluído no nome do arquivo é usado por um atacante para exibir a string gnp.js no sentido contrário mascarando o fato de que o arquivo é um js e enganando as vítimas para que elas acreditem que é uma imagem .png inofensiva.

Quando o usuário clica no arquivo o Windows mostra uma notificação de segurança, isto caso ela não tenha sido desabilitada nas configurações do sistema.

Se o usuário ignorar a mensagem, ele executa o código malicioso. A boa notícia é que assim que avisou a equipe do Telegram eles rapidamente corrigiram a falha.

“A Kaspersky Lab relatou a vulnerabilidade à Telegram e, no momento desta publicação, a falha do zero-day já não era mais detectada nos produtos da empresa”, afirma a análise publicada pela Kaspersky.

“Durante a sua análise os analistas da Kapersky identificaram vários cenários de exploração desta falha zero-day no mundo real por vários vetores”.

A análise dos servidores utilizados pelos atacantes revelou a presença de arquivos contendo o cache local do Telegram o que leva a crer que a falha estava sendo usada para roubar dados das vítimas.

Em outro cenário de ataque os criminosos instalavam um software que usava a API do Telegram como mecanismo de comando e controle.

“Em segundo lugar após a exploração ser bem sucedida uma backdoor foi instalada e usava a API do Telegram como um protocolo de comando e controle resultando em ganho do controle remoto do computador da vítima pelos atacantes.

Após a instalação ele começou a operar em modo silencioso o que permitiu aos atacantes permanecer ocultos na rede e executar comandos diferentes incluindo a instalação de ferramentas adicionais de spyware”, continua a análise.

De acordo com o pesquisador a falha era conhecida apenas na comunidade criminosa da Rússia e não foi explorada por outros criminosos.

Para mitigar o ataque somente baixe e abra arquivos de remetentes confiáveis.

A empresa de segurança também recomendou aos usuários evitar o compartilhamento de informações pessoais sensíveis em seus aplicativos de mensagens e certificar de ter um bom antivírus de uma empresa confiável instalado em seus sistemas.

Via Security Affairs