Investigadores de Kaspersky han identificado un 0day en Telegram Desktop a través del cual ciberdelincuentes estaban ya distribuyendo y utilizando, entre otras variantes de malware, software de minado de criptomonedas en lo que se convierte en otro ejemplo de hacía donde ha virado la ciberdelincuencia para conseguir una rápida monetización de sus acciones.
La fiebre por el minado de criptomonedas no para de crecer y obviamente los cibercriminales están dedicando ingentes esfuerzos en lo que ya representa una buena parte de sus ingresos ilícitos. Las noticias relacionadas con el minado de criptomonedas se suceden sin pausa, tenemos botnets, personal de instalaciones nucleares rusas intentando utilizar los supercomputadores para minar, webs gubernamentales hackeadas para el mismo fin y un largo etc...
La tendencia hacia el ransomware que observábamos hace tan solo unos meses ha virado radicalmente hacía el minado de criptomonedas. El minado además de tener más privacidad es mucho menos invasivo (aunque sigue siéndolo) para la víctima y en muchos casos pasará bastante tiempo, especialmente si no dispone de una solución antivirus que le avise, en que se de cuenta de la infección y de para qué estaban usando su ordenador. Tiempo durante el cual los ciberdelincuentes habrán añadido la potencia computacional de la máquina para engordar sus carteras virtuales.
El último caso a gran escala publicado implica a un 0day en Telegram Desktop. Esta aplicación de mensajería instantánea que ha crecido de manera exponencial y no para de añadir ambiciosos planes de futuro, como su propia criptomoneda, ha sido curiosamente la puerta de entrada de los ciberdelincuentes a miles de ordenadores a través de la cual han plantado principalmente software de minado de criptomonedas.
Este 0day consistía en el método de ataque Unicode RLO (right to left override) en el que, simplificando el proceso, a través de jugar en el código con lenguajes que se escriben de derecha a izquierda como el hebreo o el árabe los atacantes pueden engañar al usuario haciéndoles por ejemplo descargar y ejecutar malware camuflado como si fuera una imagen por ejemplo haciendoselo ejecutar sin que se dieran cuenta, todo esto jugando con caracteres que visualmente pueden parecer legítimos pero que realmente en el código son otros y que el sistema operativo, que si lee el código tal cual es, ejecuta de la manera que el ciberdelincuente ha planificado. Este tipo de ataques lo vimos hace unos años en ataques de phishing a dominios que parecían legítimos pero que estaban escritos realmente con caracteres cirílicos para conseguir ataques de phishing.
Los atacantes, que según la investigación de Kaspersky serían de origen ruso, utilizaban este 0day con diferentes fines, por una parte para como decíamos el minado de criptomonedas (Monero, Zcash, Fantomcoin...), por otra parte también para robar el cache local de Telegram lo que podría llevar a posteriores extorsiones o a ataques de ingeniería social ya que en las conversaciones o archivos puede haber de todo.. Y finalmente para instalar un backdoor aprovechando la API de Telegram para controlar la máquina en remoto e incluso instalar otros tipos de malware en la máquina desde donde atacar al resto de la red.
Para evitar ser víctimas de este tipo de ataques, debemos ante todo evitar descargar y/o ejecutar ficheros sospechosos o de fuentes no seguras, evitar compartir información sensible a través de mensajería instantánea y obviamente contar con una solución antivirus en local ya que muchas de estas ya incluyen entre sus detecciones múltiples variedades de software de minado de criptomonedas y obviamente estar al tanto de cargas anormales de nuestro procesador.
Fuente Kaspersky
