Una falla in Telegram desktop sfruttata per installare criptominer occulti

I ricercatori di Kaspersky Lab hanno pubblicato nel corso della giornata di ieri l’analisi di una vulnerabilit individuata nella versione desktop della popolare piattaforma di messaggistica Telegram che sarebbe stata sfruttata in un numero non precisato di casi per compromettere il sistema ospite ed installare malware di varia tipologia, fra cui gli ormai famigerati cryptominer occulti.

Secondo quanto riferito da Kaspersky si tratterebbe di una vulnerabilit 0-day basata su RLO Unicode, metodo generalmente utilizzato per la codifica dei linguaggi il cui senso di scrittura si sviluppa da destra a sinistra. Il metodo viene sfruttato per invertire una porzione dei caratteri che compongono il nome di un file, ingannando cos l’utente e camuffando ad esempio un file javascript in un file di immagine. Per esempio un file nominato “evil.js” pu esssere rinominato in photo_high_re*U+202E*gnp.js: resta sempre un file .js, ma il suo nome apparir come photo_high_resj.png ingannando l’utente.

Nel momento in cui il file dannoso viene scaricato e lanciato dall’utente, pu aprire la strada a varie modalit di sfruttamento. I ricercatori di Kaspersky, nel corso delle loro analisi, hanno individuato come la vulnerabilit sia stata sfruttata per installare software per il mining di Monero, Zcash e Fantomcoin, cos come spyware o strumenti per il controllo remoto del sistema del bersaglio. I ricercatori, analizzando un server legato alle attivit di attacco, hanno inoltre trovato alcuni archivi contenenti le chat locali delle vittime.

La vulnerabilit sarebbe stata sfruttata sin da marzo 2017. Kaspersky ha dichiarato di aver notificato privatamente Telegram su quanto scoperto, e da allora di non aver riscontrato pi la vulnerabilit nelle vari aggiornamenti rilasciati dalla societ.

Pavel Durov, fondatore di Telegram, ha per confutato quanto dichiarato da Kaspersky: “Come sempre i report delle societ antivirus devono essere considerati con un po’ di buon senso, dato che tendono ad enfatizzare la gravit delle loro scoperte per avere risalto sui mass media”. Durov sostiene che quanto individuato da Kaspersky non sia una vulnerabilit propria di Telegram Desktop e che eventuali malintenzionati non hanno modo di accedere al sistema dell’utente a meno che questi non avvi il file dannoso e opportunamente mascherato.

All copyrights for this article are reserved to HWupgrade