Vulnerabilidade de “dia zero” no Telegram era usada para minerar criptomoedas

Cibercriminosos se baseavam em método Unicode RLO, com caracteres árabes ou hebraicos ocultos no nome do malware, para induzir o download e instalação nas máquinas das vítimas

Compartilhar:

Pesquisadores de segurança descobriram ataques realizados por um novo malware que se propaga no ambiente online e que utiliza uma vulnerabilidade de ‘dia zero’ existente no aplicativo Telegram para desktop. A vulnerabilidade foi usada para difundir um malware multifuncional que, dependendo do computador atacado, pode ser usado como backdoor ou como uma ferramenta para instalar um software de mineração. Segundo a investigação, a vulnerabilidade é explorada ativamente desde março de 2017 para a funcionalidade de mineração de criptomoedas, como Monero, Zcash, etc.

 

Os serviços de mensagens, criados para facilitar o contato com amigos e familiares, fazem parte de nossa vida conectada há muito tempo. Ao mesmo tempo, eles podem trazer complicações importantes se forem alvos de um ataque cibernético. No mês passado, uma pesquisa revelou um malware avançado, o cavalo de Troia Skygofree, capaz de roubar mensagens do WhatsApp. A pesquisa mais recente mostra que os especialistas conseguiram identificar ataques ‘em campo’ que utilizam uma nova vulnerabilidade antes desconhecida na versão para desktop de outro serviço conhecido de mensagens instantâneas. A investigação mais recente revela ataques de malware no ambiente online com uma nova vulnerabilidade, anteriormente desconhecida, na versão de desktop de outro popular serviço de mensagens instantâneas – Telegram.

 

De acordo com análise, a vulnerabilidade de “dia zero” do Telegram se baseia no método Unicode RLO (substituição da direita para a esquerda). Em geral, ele é usado para codificar idiomas escritos da direita para a esquerda, como árabe ou hebraico. Porém, os criadores do malware também podem usá-lo para induzir os usuários a baixar arquivos maliciosos disfarçados, por exemplo, como imagens.

 

Os invasores usaram um símbolo Unicode oculto no nome do arquivo para inverter a ordem dos caracteres, renomeando assim o próprio arquivo. Consequentemente, os usuários baixavam o malware oculto, que era instalado nos computadores.

 

Durante a análise, os especialistas identificaram vários cenários de explorações de “dia zero” em campo lançadas por agentes de ameaças. Em primeiro lugar, a vulnerabilidade foi explorada para transmitir o malware de mineração, que pode ser causar muitos danos aos usuários. Usando a capacidade de computação do PC da vítima, os criminosos virtuais criam vários tipos de moeda criptografada, como Monero, Zcash, Fantomcoin e outros. Além disso, ao analisar os servidores de um agente de ameaças, os pesquisadores descobriram arquivos comprimidos contendo um cache local do Telegram que havia sido roubado das vítimas.

 

Depois de conseguir explorar a vulnerabilidade, era instalado um backdoor que usava a API do Telegram como protocolo de comando e controle. Assim, os hackers obtinham acesso remoto ao computador da vítima. Após a instalação, ele começava a operar em modo silencioso, permitindo que o agente da ameaça continuasse imperceptível na rede e executasse diversos comandos, por exemplo, para instalar outras ferramentas de spyware.

 

Os artefatos descobertos durante a pesquisa sugerem que os criminosos virtuais são de origem russa.

 

“A popularidade dos serviços de mensagens instantâneas é incrivelmente alta, sendo extremamente importante que os desenvolvedores ofereçam proteção adequada a seus usuários para que eles não se tornem alvos fáceis para os criminosos”, diz Alexey Firsh, analista de malware no setor de pesquisa de ataques direcionados da Kaspersky Lab. “Descobrimos vários cenários dessa exploração de “dia zero” que, além dos malwares e spywares genéricos, eram usadas para entregar software de mineração. Essas infecções tornaram-se uma tendência global que observamos ao longo do último ano. Além disso, acreditamos na existência de outras maneiras de usar indevidamente essa vulnerabilidade de dia zero”, finaliza.

 

Conteúdos Relacionados

Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...
Security Report | Overview

Disparo falso da Defesa Civil: O que incidente representa de risco de credenciais roubadas

Uso de acessos legítimos respondeu por 25% dos vetores de entrada em ataques globais investigados pela empresa; especialistas explicam como...
Security Report | Overview

CNCiber lança modelo para avaliar maturidade de SI nacional 

Desenvolvido pelo Comitê Nacional de Cibersegurança, o modelo CIMBRA medirá a resiliência digital do país nas vertentes nacional e institucional,...
Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...