Hackers Abusaram do Telegram para Minerar Criptomoedas e Roubar Informações

Todos vocês sabem que iniciar arquivos executáveis aleatórios não é uma boa ideia. Mas e quanto a abrir imagens? Certamente, uma foto engraçada de gato recebida por meio de um aplicativo de mensagens instantâneas não pode ser tão prejudicial, pode? Em circunstâncias normais, não pode, e é por isso que os hackers têm procurado maneiras de fazer com que arquivos maliciosos pareçam imagens inofensivas. Uma vulnerabilidade no aplicativo Telegram IM deu a eles a chance de fazer exatamente isso. Os pesquisadores da Kaspersky explicaram como tudo aconteceu.

O ataque envolve uma técnica chamada Substituição da direita para a esquerda. Os especialistas em segurança o viram pela primeira vez anos atrás e sabem muito bem como funciona. O que eles não sabiam era que o aplicativo de mensagens do Telegram era vulnerável a ele.

O ataque se baseia em um caractere Unicode representado como "U + 202E", que tem um uso perfeitamente legítimo - escrever texto em idiomas da direita para a esquerda, como hebraico e árabe. Os hackers, por outro lado, o usam para ofuscar extensões de arquivo. U + 202E é um caractere não imprimível, o que significa que não aparece em uma sequência normal de texto. Quando colocado no lugar certo, pode facilmente enganar as vítimas, pensando que estão abrindo uma imagem ou arquivo de texto benigno quando, na verdade, estão lançando um executável. Aqui está como isso funciona.

Pegue um arquivo JS chamado "DSC011126GPJ.JS" e coloque o caractere U + 202E entre "6" e "G". Sem aparecer no nome do arquivo, o caractere Unicode reverterá a ordem dos caracteres que aparecem depois dele e o nome do arquivo será semelhante a: "DSC011126SJ.JPG". Parece o nome de uma foto JPEG tirada com uma câmera digital. Na realidade, não é. Ainda é um arquivo JS. O caractere U + 202E não altera o conteúdo do arquivo e, se houver um código malicioso, ele será executado. Como os especialistas da Kaspersky observaram, nas configurações padrão, o Windows avisa os usuários que eles estão prestes a iniciar um arquivo executável, mas o fato de o ataque ter funcionado em caráter selvagem mostra que não faltam pessoas que ignoraram o prompt.

Os pesquisadores descobriram o ataque pela primeira vez em outubro, mas após uma investigação mais aprofundada, eles encontraram campanhas que remontam a março de 2017. Depois que o arquivo malicioso era executado, um downloader gravava o disco e modificava o registro do sistema para obter persistência. Em seguida, entra em contato com um bot do Telegram que atua como um servidor de Comando e Controle (C&C) e aguarda instruções, que, curiosamente, foram escritas em russo.

O objetivo do downloader era, como você pode imaginar, fazer o download e implantar cargas úteis de segundo estágio, que, na maioria das vezes, consistiam em mineradores de criptomoeda. O software malicioso era bastante inteligente. Além de gerar moedas criptografadas, os mineradores exibiram documentos de chamariz para distrair as vítimas, e alguns deles até monitoraram a lista de processos ativos e apreenderam temporariamente a atividade de mineração quando viram que o Gerenciador de Tarefas estava sendo executado.. Em alguns casos, vários mineradores foram lançados ao mesmo tempo e mineraram todo tipo de criptomoeda, incluindo Monero, Zcash e Fantomcoin.

Em outros casos, o downloader implantaria um Sistema de Manipulador Remoto semelhante ao TeamViewer, que dava aos hackers acesso adicional ao endpoint comprometido, e os pesquisadores também descobriram uma carga útil que foi projetada especificamente para roubar artefatos do cache local do Telegram.

Obviamente, essas são apenas as cargas úteis monitoradas pela Kaspersky. Os especialistas disseram que o escopo completo do ataque permanece desconhecido. A boa notícia é que, depois de aprender sobre o problema, o Telegram corrigiu o produto e, agora, não é mais possível abusar do aplicativo de IM dessa maneira específica. O uso do que agora é um antigo truque de confiança mostra, no entanto, que você deve ter cuidado com todos os arquivos recebidos, independentemente de quão legítimos eles pareçam.