Telegram: sembrano foto ma sono malware

I cybercriminali attaccano gli utenti di Telegram utilizzando un vecchio trucco: alcune foto in realtà sono dei malware.

I servizi di messaggistica non sono solo uno strumento utile per rimanere in contatto con persone lontane, ma rappresentano anche una porta d’entrata per i cybercriminali. Sembra ieri quando parlavamo di Skygofree, il Trojan rivolto ai dispositivi Android che consente ai cybercriminali di spiare gli utenti sul Messenger di Facebook, su Skype, Viber, Whatsapp e altre piattaforme. Oggi invece parleremo di una nuova infezione scoperta dai nostri esperti, capace di operare su più fronti, che si intrufola sui computer fissi e che si diffonde attraverso Telegram impiegando una tecnica piuttosto ingegnosa.

Malware sotto le mentite spoglie di foto di gattini!

Uno dei compiti principali di chi crea un Trojan è di convincere gli utenti ad attivare il malware di propria iniziativa; si inventano i trucchi più fantasiosi per fare in modo che questi file pericolosi sembrino in realtà assolutamente innocui.

Per questo trucco in questione, vale la pena ricordare che in alcune lingue si scrive da destra verso sinistra (in arabo ed ebraico, ad esempio). Unicode, sistema di codifica di caratteri presente praticamente ovunque, consente di cambiare il verso delle parole scritte; è necessario inserire solamente un carattere speciale invisibile e la stringa di lettere che segue sarà visualizzata in senso inverso. Gli hacker sono riusciti a sfruttare questa particolarità in un recente attacco.

Immaginiamo che un cybercriminale crei un file dannoso chiamato Trojan.js. Si tratta di un file Javascript, come si evince dall’estensione JS del file, che potrebbe contenere un codice eseguibile; un utente cauto potrebbe insospettirsi immediatamente e non aprirebbe il file. Ma un cybercriminale può cambiare il nome del file, ad esempio in questo modo: cute_kitten*U+202E*gnp.js.

Questo nome potrebbe sembrare ancora più sospetto per un utente; tuttavia, grazie al carattere Unicode U+202E, le lettere e i segni di interpunzione che seguono questo codice verranno scritti da destra verso sinistra. In questo modo il nome del file diventerà cute_kittensj.png, con un’apparente estensione png. Sembra così un’immagine normale, anche se continua a svolgere le funzioni di un Trojan JavaScript.

Il trucco di rinominare i file utilizzando Unicode non è nuovo, è stato impiegato già una decina di anni fa per nascondere allegati email dannosi e download di file (molti ambienti sono già protetti da questo genere di stratagemma). Tuttavia, su Telegram ha funzionato al primo tentativo perché su Telegram era presente la cosiddetta vulnerabilità RLO, individuata dai nostri ricercatori.

Le foto di gattini si trasformano in miner o backdoor

La vulnerabilità è stata riscontrata solo sul client Windows di Telegram, non nelle app per dispositivi mobili. I nostri esperti non solo hanno scoperto la sua esistenza ma anche che i cybercriminali se ne sono serviti per i propri scopi. La vittima riceveva una pseudo-immagine e, quando la apriva, il computer veniva infettato. Il sistema operativo in teoria avvisa l’utente quando è in procinto di aprire un file eseguibile proveniente da una fonte sconosciuta, il che dovrebbe destare qualche sospetto nell’utente. Purtroppo, però, molte persone accettano di aprire il file senza leggere il messaggio in questione.

Se visualizzate questa finestra, fermatevi un po’ a riflettere. Anzi, fermatevi proprio e non andate oltre.

Quando viene aperto il file, viene mostrata davvero l’immagine di un gattino, per non destare sospetti e, nel frattempo, con i suoi payload il malware lavora dietro le quinte, svolgendo diverse operazioni a seconda della sua configurazione.

Un tipo di payload in realtà Fa sì che il malware lavori come miner occulto: il computer funziona più lentamente, si surriscalda e si occupa di effettuare il mining di criptomonete al posto dei cybercriminali. Un altro tipo di payload è una backdoor che consente ai cybercriminali di prendere il controllo del computer in remoto e di farci di tutto, da installare o rimuovere programmi a raccogliere dati personali. Questo tipo di infezione può rimanere silente per molto tempo senza destare alcun tipo di sospetto.

Keep calm and carry on

I nostri ricercatori hanno prontamente informato gli sviluppatori di Telegram della vulnerabilità, che è già stata risolta (per la “gioia” di tutti quei cybercriminali che avrebbero voluto approfittarne). Comunque sia, ciò non vuol dire che Telegram o altre app di messaggistica siano esenti da vulnerabilità, solamente non ne sono ancora a conoscenza. Per proteggervi da future epidemie, vi consigliamo di seguire alcune semplici regole di sicurezza, valide per social network, messaggi istantanei e altri mezzi di comunicazione elettronica:

  • Non scaricate né aprite file provenienti da fonti pericolose o sconosciute. Meglio pensarci due volte prima di aprire una foto;
  • Se il sistema vi avverte della pericolosità di aprire un file, verificate che la descrizione coincida con il file che avete intenzione di aprire;
  • Installate una soluzione di sicurezza affidabile come Kaspersky Internet Security, che vi aiuterà a individuare i malware nascosti in fantomatiche immagini durante le fasi di download o installazione. Ovviamente, sarete protetti anche da altre tipologie di infezioni.
Consigli