FlagJueves, 22 Febrero 2018

 

 

kaspersky

 

Los investigadores de Kaspersky Lab han descubierto ataques realizados por un nuevo malware que se propaga in the wild y se vale de una vulnerabilidad de día cero existente en la aplicación de Telegram para escritorio. Esta vulnerabilidad fue utilizada para propagar un malware que tiene diferentes funciones y que en dependencia de la computadora atacada, se puede usar como puerta trasera o como herramienta para instalar un software extractor de datos. Según la investigación, la vulnerabilidad ha sido explotada activamente desde marzo de 2017 por la funcionalidad de minería de criptomonedas, entre ellas Monero, Zcash, etc.


Los servicios de mensajería social han sido durante mucho tiempo una parte esencial de nuestra vida conectada. Están diseñados para que sea mucho más fácil mantenerse en contacto con amigos y familiares, pero al mismo tiempo pueden complicar considerablemente las cosas si sufren un ataque cibernético. Por ejemplo, el mes pasado Kaspersky Lab publicó una investigación sobre un malware móvil avanzado conocido como el troyano Skygofree, que es capaz de robar mensajes de WhatsApp. Ahora, la más reciente investigación de Kaspersky Lab revela ataques de malware in the wild con una vulnerabilidad nueva, previamente desconocida, en la versión de escritorio de otro popular servicio de mensajería instantánea- Telegram.

Según la investigación, la vulnerabilidad de día cero de Telegram se basa en el método Unicode RLO (anulación de derecha a izquierda), que generalmente se usa para codificar idiomas que se escriben de derecha a izquierda, como el árabe o el hebreo. Sin embargo, también puede ser utilizado por los creadores de malware para inducir engañosamente a los usuarios a bajar archivos maliciosos disfrazados, por ejemplo, de imágenes.

Los atacantes utilizaron un símbolo Unicode oculto en el nombre del archivo que invertía el orden de los caracteres, y así cambiaba el nombre del archivo. Como resultado, los usuarios bajaban malware oculto que entonces quedaba instalado en sus computadoras. Kaspersky Lab le informó sobre esta vulnerabilidad a Telegram y, en el momento de esta publicación, la falla relacionada con el día cero no se ha vuelto a observar en los productos de mensajería.

Durante el análisis, los expertos de Kaspersky Lab identificaron varios escenarios de explotación del día cero por parte de los agentes de amenazas que se propagan libremente. En primer lugar, la vulnerabilidad fue aprovechada para instalar malware extractor (o minero), algo que puede ser muy perjudicial para los usuarios. Mediante la utilización de la potencia de cómputo de la PC de la víctima, los ciberdelincuentes crearon diferentes tipos de criptomonedas, entre ellas, Monero, Zcash y Fantomcoin. Además, al analizar los servidores de un actor de amenazas, los investigadores de Kaspersky Lab encontraron archivos que contenían un caché local con almacenamiento de Telegram que había sido robada a las víctimas.
En segundo lugar, tras la explotación exitosa de la vulnerabilidad, se instalaba una puerta trasera que usaba la API de Telegram como un protocolo de mando y control, lo que daba como resultado que los hackers obtuvieran acceso remoto a la computadora de la víctima. Después de la instalación, comenzaba a funcionar en modo silencioso, lo que le permitía al delincuente permanecer inadvertido en la red y ejecutar diferentes órdenes, incluida la instalación adicional de herramientas de spyware.
Los artefactos descubiertos durante la investigación indican que los ciberdelincuentes son de origen ruso.

“La popularidad de los servicios de mensajería instantánea es increíblemente alta, y es extremadamente importante que los desarrolladores brinden la protección adecuada a sus usuarios para que no se conviertan en objetivos fáciles para los delincuentes”, dijo Alexey Firsh, analista de malware, Investigación de ataques dirigidos, en Kaspersky Lab. “Hemos encontrado varios escenarios de esta explotación de día cero que, además de malware y spyware en general, se utilizaba para instalar software extractor (minero), y tales infecciones se han convertido en una tendencia mundial que hemos visto a lo largo del año pasado. Además, creemos que había otras maneras en que se aprovechaba esta vulnerabilidad de día cero”.

 

 

 

 

Te puede interesar...

Sophos muestra lo más relevante de su Estado Actual de Seguridad de EndpointSophos muestra lo más relevante de su Estado Actual de Seguridad de Endpoint
03 Feb 2018 01:49 - Redacción

  Sophos reveló los hallazgos de su encuesta global titulada “Estado Actual de Seguridad  [ ... ]

Tendencias y recomendaciones para tener la mejor solución VMS Tendencias y recomendaciones para tener la mejor solución VMS
17 Feb 2018 00:28 - Edgardo López, gerente de Ingeniería para Latinoamérica de Milestone

  Con el año nuevo también llegan nuevas oportunidades y desafíos para los profesionales  [ ... ]

Cylance anuncia nuevas versiones de sus soluciones de seguridad enfocadas a la prevenciónCylance anuncia nuevas versiones de sus soluciones de seguridad enfocadas a la prevención
08 Feb 2018 20:26 - Redacción

  Cylance anunció nuevas versiones de sus productos enfocados a seguridad; CylancePROTECT y [ ... ]

El factor humano como riesgo en la ciberseguridad de las empresas, ¿cómo mitigarlo?El factor humano como riesgo en la ciberseguridad de las empresas, ¿cómo mitigarlo?
13 Feb 2018 23:13 - Carlos Macías, Country Manager de Citrix México

  La ciberseguridad ha cobrado gran importancia en los últimos años, no sólo por la infor [ ... ]