Pesquisadores da Kaspersky Lab descobriram um malware “zero day” no Telegram com o intuito de repassar para as vítimas softwares que irão usar o poder de processamento do computador para a mineração de criptomoedas como Monero, Zcash, Fantomcoin e outros.
Essa vulnerabilidade baseia no método Unicode RLO (substituição da direita para a esquerda). Em geral, ele é usado para codificar idiomas escritos da direita para a esquerda, como árabe ou hebraico. Porém, os criadores do malware também podem usá-lo para induzir os usuários a baixar arquivos maliciosos disfarçados, por exemplo, como imagens.
Os invasores usaram um símbolo Unicode oculto no nome do arquivo para inverter a ordem dos caracteres, renomeando assim o próprio arquivo. Consequentemente, os usuários baixavam o malware oculto, que era instalado nos computadores. A Kaspersky Lab informou ao Telegram sobre a vulnerabilidade e, até o momento desta publicação, a falha de “dia zero” não foi mais observada nos produtos de mensagens instantâneas.
Durante a análise, os especialistas da Kaspersky Lab identificaram vários cenários de explorações de “dia zero” em campo lançadas por agentes de ameaças. Em primeiro lugar, a vulnerabilidade foi explorada para transmitir o malware de mineração, que pode ser causar muitos danos aos usuários. Usando a capacidade de computação do PC da vítima. Além disso, ao analisar os servidores de um agente de ameaças, os pesquisadores da Kaspersky Lab descobriram arquivos comprimidos contendo um cache local do Telegram que havia sido roubado das vítimas.
Depois de conseguir explorar a vulnerabilidade, era instalado um backdoor que usava a API do Telegram como protocolo de comando e controle. Assim, os hackers obtinham acesso remoto ao computador da vítima. Após a instalação, ele começava a operar em modo silencioso, permitindo que o agente da ameaça continuasse imperceptível na rede e executasse diversos comandos, por exemplo, para instalar outras ferramentas de spyware.
“A popularidade dos serviços de mensagens instantâneas é incrivelmente alta, sendo extremamente importante que os desenvolvedores ofereçam proteção adequada a seus usuários para que eles não se tornem alvos fáceis para os criminosos”, diz Alexey Firsh, analista de malware no setor de pesquisa de ataques direcionados da Kaspersky Lab.
“Descobrimos vários cenários dessa exploração de “dia zero” que, além dos malwares e spywares genéricos, eram usadas para entregar software de mineração. Essas infecções tornaram-se uma tendência global que observamos ao longo do último ano. Além disso, acreditamos na existência de outras maneiras de usar indevidamente essa vulnerabilidade de dia zero”, finaliza.
Siga o Hardware.com.br no Instagram
Veja também
Sobre o Autor
Deixe seu comentário