Kaspersky Lab, la società russa di sicurezza informatica

È stato riferito che gli aggressori avevano scoperto una backdoor esposta in Telegram Messenger, questa vulnerabilità ha aiutato gli aggressori sconosciuti ai proprietari a trasformare i computer in minatori di criptovaluta.

Queste operazioni clandestine di mining di criptovalute erano in corso da marzo 2017 secondo Kaspersky Labs, l'azienda che ha scoperto ed esposto gli attacchi informatici. Kaspersky ha anche affermato che una vulnerabilità zero-day nell'app desktop di Telegram Messenger ha dato agli aggressori la possibilità di creare e diffondere un tipo di malware mai visto prima che potrebbe creare un Trojan backdoor e anche estrarre criptovaluta.

Un analista di Kaspersky Lab ha affermato di aver trovato un certo numero di possibili azioni dello sfruttamento zero-day che oltre a essere spyware e malware, potrebbe anche inviare software sconosciuto e invisibile per il mining di criptovaluta, e che infezioni del genere erano diventate un fenomeno globale.

Ecco un piccolo approfondimento sul funzionamento della vulnerabilità di Telegram; c'è un modo in cui il client Windows di Telegram gestisce il carattere Unicode RLO (override da destra a sinistra) (U+202E), in quel processo risiede la vulnerabilità. Però, che il carattere Unicode RLO è il modo in cui le lingue sono scritte da destra a sinistra (come l'ebraico o l'arabo) sono codificate. Il rapporto di Kaspersky afferma che un carattere Unicode RLO nascosto contenuto nel nome del file ha ribaltato il modo in cui i caratteri sono stati ordinati, dando così al file un nuovo nome è stato il modo in cui i creatori del malware hanno avuto accesso ai computer. Come in questo esempio, un utente malintenzionato nomina un file "IMG_high_re*U+202E*gnp.js" e lo invia a qualcuno utilizzando il messenger di Telegram, il file visto alla fine dell'utente sarà "IMG_high_resj.png" (notare come si è verificato un ribaltamento del formato del file), l'utente quindi fa clic sul file pensando che sia un file di immagine, quindi un file JavaScript contenente il malware verrebbe scaricato segretamente.

Fondatore di Telegram

Però, il fondatore dell'applicazione Telegram non ha perso tempo a sminuire le accuse. È dell'opinione che le aziende di antivirus facciano sempre di più per aumentare la gravità dei loro risultati, solo per emozionare il pubblico, e come tale, non dovrebbe essere preso sul serio. Ha anche respinto l'affermazione di Kaspersky spiegando che ciò che hanno scoperto non era nulla vicino a una vulnerabilità dell'app di messaggistica di Telegram, e anche che non c'era modo che i criminali informatici potessero accedere ai computer degli utenti senza che gli utenti aprissero qualcosa di dannoso. Ha inoltre assicurato agli utenti di Telegram che erano al sicuro ed erano sempre stati al sicuro.

Secondo Kaspersky, Fantomcoin, Monero, Zcash e altre criptovalute sono state acquisite, e secondo le prove che avevano, I russi erano dietro il malware, e anche che potrebbe essere utilizzato come backdoor per gli hacker per ottenere l'accesso e il controllo silenzioso dei computer degli utenti. I record di una cache locale di Telegram che molto probabilmente è stata rubata alle vittime sono stati trovati nel processo di analisi dei server dannosi.

Un modo sicuro per proteggersi da tali attacchi è evitare di scaricare e aprire file sospetti da fonti non attendibili e sconosciute, poiché quel file sospetto potrebbe essere un portale per gli attacchi.