Gli autori di malware hanno individuato una vulnerabilità 0-day nel clienti Windows di Telegram: la stanno usando per infettare gli utenti con un malware per il mining di cripto valute.
La 0-day
La vulnerabilità sfruttata in questo attacco si trova in "come" il clienti Windows di Telegram gestisce il carattere Unicode RLO (right to left override). Questo carattere è usato per passare da dalla visualizzazione del testo RTL (right to the left) a quella LTR (left to the right). Va detto, al momento in cui scriviamo, che la vulnerabilità è già stata risolta: non è chiaro però quali versioni di Telegram siano affetti da questa vulnerabilità. Si sa solo che questi exploit sui client Windows sono iniziati nel Marzo 2017.
Gli utenti Telegram hanno ricevuto dai truffatori dei messaggi contenenti un file allegato. Il nome
del file contiene il carattere RLO, che cambia la direzione della visualizzazione del testo. Ad esempio, in una delle varie campagne di diffusione, i truffatori hanno inviato fli utenti un file rinominato "photo_high_re*U+202E*gnp.js", dove "U+202E" è il carattere RLO. Quando il nome del file viene reso sullo schermo, l'ultima parte del nome viene capovolta e il file appare come "photo_high_resj.png", come si vede sotto...
I malware in diffusione
Quando un utente clicca ed esegue il file, immagina di aprire una immagine: in realtà esegue un JavaScript che scarica e installa un malware sul sistema.
La prima campagna di diffusione individuata, sfruttava la 0-day per installare senza consapevolezza dell'utente un malware per il mining di cripto valuta, sopratutto per Monero, Zcash e Fantomcoin.
In altri casi invece è in diffusione un trojan backdoor (controllabile tramite l'API di telegram) e altri strumenti malware, ma comunque in misura assai minore rispetto al mining malware.
Nessun commento:
Posta un commento