Gli hacker hanno sfruttato una vulnerabilita’ zero-day di Telegram Messenger per diffondere malware multipurpose

(Roma, 13 febbraio 2018) – I ricercatori di Kaspersky Lab hanno scoperto ‘in the wild – attacchi informatici eseguiti attraverso un nuovo malware che sfrutta una vulnerabilita’ zero-day dell’app Telegram Desktop. La vulnerabilita’ utilizzata per inviare malware multipurpose, che a seconda del computer puo’ essere sfruttato come backdoor o come strumento per diffondere software di mining, secondo la ricerca, e’ stata utilizzata attivamente da marzo 2017 per la funzionalita’ di mining di cryptovaluta, tra cui Monero, Zcash, ecc.

I servizi di messaggistica istantanea, ormai una parte essenziale della nostra vita connessa, sono progettati per rendere piu’ semplice la possibilita’ di rimanere in contatto con amici e familiari, ma allo stesso tempo possono diventare un problema se subiscono un attacco informatico. Ad esempio, lo scorso mese Kaspersky Lab ha pubblicato un report su un malware mobile avanzato, il Trojan Skygofree, in grado di ‘rubare – i messaggi WhatsApp. La recente ricerca mostra come gli esperti siano stati in grado di identificare gli attacchi ‘in the wild – di una nuova vulnerabilita’, precedentemente sconosciuta, nella versione desktop di un altro popolare servizio di messaggistica istantanea.

Secondo la ricerca, la vulnerabilita’ zero-day di Telegram era basata sul metodo Unicode RLO (right-to-left override), generalmente utilizzato per le lingue di codifica scritte da destra a sinistra, come l’arabo o l’ebraico. Oltre a cio’, puo’ comunque essere utilizzato anche dagli sviluppatori di malware per indurre gli utenti a scaricare file dannosi ad esempio sotto forma di immagini.

Gli aggressori hanno usato un carattere Unicode nascosto nel nome del file che ha invertito l’ordine dei caratteri, rinominando cosi’ il file stesso. In questo modo gli utenti hanno scaricato un malware nascosto che si e’ installato sui loro computer. Kaspersky Lab ha segnalato la vulnerabilita’ a Telegram e, al momento della pubblicazione, il difetto zero-day non e’ stato piu’ osservato nei prodotti di messaggistica.

Durante la loro analisi, gli esperti di Kaspersky Lab hanno identificato ‘in the wild – diversi scenari di utilizzo dello zero-day da parte del gruppo criminale. La vulnerabilita’ e’ stata innanzitutto sfruttata per diffondere malware di mining, particolarmente dannosi per gli utenti: usando la potenza di calcolo dei PC delle vittime i criminali informatici hanno creato diversi tipiu’ di cryptovaluta tra cui Monero, Zcash, Fantomcoin e altri. Inoltre, durante l’analisi dei server del gruppo criminale, i ricercatori di Kaspersky Lab hanno trovato archivi contenenti cache locali di Telegram sottratte alle vittime.

Successivamente, dopo aver sfruttato con successo la vulnerabilita’, veniva installata una backdoor che utilizzava l’API di Telegram come protocollo di comando e controllo, consentendo agli hacker di ottenere l’accesso remoto al computer della vittima. Dopo l’installazione la backdoor iniziava a funzionare in modalita’ nascosta, consentendo cosi’ al gruppo criminale di operare nella rete senza essere scoperto ed eseguire diversi comandi tra cui l’installazione di ulteriori strumenti spyware.

Gli artefatti scoperti durante la ricerca indicano criminali informatici di origine russa.

“La diffusione dei servizi di messaggistica istantanea e’ incredibilmente alta ed e’ estremamente importante che gli sviluppatori forniscano una protezione adeguata per i loro utenti, in modo che non diventino facili bersagli per i criminali. Abbiamo rilevato diversi tipiu’ di sfruttamento dello zero-day che e’ stato utilizzato sia per diffondere malware e spyware generici che per fornire software di mining. Queste infezioni sono diventate una tendenza generale che abbiamo visto durante l’ultimo anno. Inoltre, riteniamo che esistano altri modi per sfruttare di questa vulnerabilita’ zero-day”, ha affermato Alexey Firsh, Malware Analyst, Targeted Attacks Research di Kaspersky Lab.

I prodotti Kaspersky Lab rilevano e bloccano questa vulnerabilita’ scoperta.

Per proteggere il PC da qualsiasi infezione, Kaspersky Lab consiglia di:

• Non scaricare e aprire file sconosciuti provenienti da fonti non attendibili;

• Evitare la condivisione di informazioni personali riservate in app di messaggistica istantanea;

• Installare una soluzione di sicurezza affidabile come Kaspersky Internet Security o Kaspersky Free che rilevi e protegga da tutte le possibili minacce, inclusi i software di mining dannosi.

Per saperne di piu’ sulla vulnerabilita’ zero-day, inclusi i dettagli tecnici, si consiglia di leggere il blogpost su Securelist.com.

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)