No dia de hoje se anunciou o descobrimento de um novo software malicioso que se aproveita de uma vulnerabilidade da versão de escritório da aplicação de mensagens instantâneas Telegram para conseguir minar criptomoedas, principalmente Monero, desde o equipamento da vítima.

Conforme o comunicado oficial da companhia de segurança Kaspersky, se trata de um vírus do tipo “In the wild”, no que o mesmo se espalha de um computador para outro no meio de operações de rotina, cotidianas e entre usuários nada suspeitos e perpetrar um “Ataque de dia zero”, ou seja, um ataque onde a vulnerabilidade é desconhecida até o momento tanto pelos desenvolvedores do software como pelos usuários.

A través da falha de segurança se infectavam os computadores com um malware multipropósito, minando criptomoedas como Monero, FantomCoin e Zcash. Se acha que este malware tem estado funcionando desde março do 2017.

Conforme este estudo a vulnerabilidade de Telegram está baseada no método RLO (Right to left Override), o qual esta integrado em Windows para tratar com as linguagens de programação que se escrevem e lêem de direita a esquerda, como o idioma árabe ou hebreu, e que pode ser utilizado para esconder extensões de arquivo falsas, disfarçando os arquivos maliciosos para que pareçam normais e que os usuários caiam como vítimas executando estes programas.

A popularidade dos serviços de mensagens instantâneas é incrivelmente alta, e é extremamente importante que os desenvolvedores provejam proteção adequada a seus usuários para que estes não se convertam em alvos fáceis para os criminosos. Temos encontrado vários palcos desta vulnerabilidade de dia zero que, ademais do geral malware e spyware, era usado para instalar software de mineração – estas infecções se tem convertido numa tendência global que temos visto durante o último ano. Além disso, acreditamos que teve outros abusos desta vulnerabilidade de dia zero.

Alexey Firsh

Analista de Malware, Karspersky Lab

Conforme a publicação, Kaspersky Lab enviou um relatório a respeito da vulnerabilidade a Telegram sem receber resposta, a qual não tem sido detectada novamente presumindo sua correção.

O vírus utilizava uma ‘porta traseira’ da API de Telegram para aceder remotamente e controlar o computador da vítima, a qual começava a operar em modo silêncio, permitindo que a atividade de mineração permaneça imperceptível e que o atacante possa infectar com outros vírus o equipamento se assim o deseja.

Os atacantes enviavam em um mensagem um arquivo JavaScript executável que alegava ser um arquivo de imagem PNG. Se a vítima o descarrega e executava, era infestada com o vírus, explicou Alexey Firsch.

Para evitar ser vítima deste malware é importante não descarregar arquivos de fontes desconhecidas e evitar compartilhar informação sensível, como senhas, nas aplicações de mensagens  instantânea e em redes sociais.

Kaspersky se refere a sua vez ao relatório investigativo publicado recentemente a respeito de Skygofree, um trojan de desenvolvimento avançado desenhado para dispositivos móveis e capaz de roubar mensagens de WhatsApp, advertindo dos perigos destes programas maliciosos que aparentam ser pouco comuns.

No que vai de mês esta é a terceira vez que se informam ataques desse tipo. Tal como informamos anteriormente em CriptoNoticias, Browsealoud foi infectado com o mineiro encoberto CoinHive, e a inícios do mês se detectou uma operação a grande escala e de 4 meses de duração que procurava infectar a usuários com software malicioso para executar a mineração de Monero nos equipamentos.

 

Traduzido de: CriptoNoticias