{"id":15051,"date":"2018-02-13T19:51:11","date_gmt":"2018-02-13T17:51:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15051"},"modified":"2019-11-22T11:07:23","modified_gmt":"2019-11-22T09:07:23","slug":"telegram-rlo-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/telegram-rlo-vulnerability\/15051\/","title":{"rendered":"Telegram: sembrano foto ma sono malware"},"content":{"rendered":"

I servizi di messaggistica non sono solo uno strumento utile per rimanere in contatto con persone lontane, ma rappresentano anche una porta d\u2019entrata per i cybercriminali. Sembra ieri quando parlavamo di Skygofree<\/a>, il Trojan rivolto ai dispositivi Android che consente ai cybercriminali di spiare gli utenti sul Messenger di Facebook, su Skype, Viber, Whatsapp e altre piattaforme. Oggi invece parleremo di una nuova infezione scoperta dai nostri esperti, capace di operare su pi\u00f9 fronti, che si intrufola sui computer fissi e che si diffonde attraverso Telegram impiegando una tecnica piuttosto ingegnosa.<\/p>\n\n

Malware sotto le mentite spoglie di foto di gattini!<\/strong><\/h3>\n

Uno dei compiti principali di chi crea un Trojan \u00e8 di convincere gli utenti ad attivare il malware di propria iniziativa; si inventano i trucchi pi\u00f9 fantasiosi per fare in modo che questi file pericolosi sembrino in realt\u00e0 assolutamente innocui.<\/p>\n

Per questo trucco in questione, vale la pena ricordare che in alcune lingue si scrive da destra verso sinistra (in arabo ed ebraico, ad esempio). Unicode, sistema di codifica di caratteri presente praticamente ovunque, consente di cambiare il verso delle parole scritte; \u00e8 necessario inserire solamente un carattere speciale invisibile e la stringa di lettere che segue sar\u00e0 visualizzata in senso inverso. Gli hacker sono riusciti a sfruttare questa particolarit\u00e0 in un recente attacco.<\/p>\n

Immaginiamo che un cybercriminale crei un file dannoso chiamato Trojan.js. Si tratta di un file Javascript, come si evince dall\u2019estensione JS del file, che potrebbe contenere un codice eseguibile; un utente cauto potrebbe insospettirsi immediatamente e non aprirebbe il file. Ma un cybercriminale pu\u00f2 cambiare il nome del file, ad esempio in questo modo: cute_kitten*U+202E*gnp.js.<\/p>\n

Questo nome potrebbe sembrare ancora pi\u00f9 sospetto per un utente; tuttavia, grazie al carattere Unicode U+202E, le lettere e i segni di interpunzione che seguono questo codice verranno scritti da destra verso sinistra. In questo modo il nome del file diventer\u00e0 cute_kittensj.png, <\/strong>con un\u2019apparente estensione png. Sembra cos\u00ec un\u2019immagine normale, anche se continua a svolgere le funzioni di un Trojan JavaScript.<\/p>\n

Il trucco di rinominare i file utilizzando Unicode non \u00e8 nuovo, \u00e8 stato impiegato gi\u00e0 una decina di anni fa<\/a> per nascondere allegati email dannosi e download di file (molti ambienti sono gi\u00e0 protetti da questo genere di stratagemma). Tuttavia, su Telegram ha funzionato al primo tentativo perch\u00e9 su Telegram era presente la cosiddetta vulnerabilit\u00e0 RLO, individuata dai nostri ricercatori.<\/p>\n

Le foto di gattini si trasformano in miner o backdoor<\/strong><\/h3>\n

La vulnerabilit\u00e0 \u00e8 stata riscontrata solo sul client Windows di Telegram, non nelle app per dispositivi mobili. I nostri esperti non solo hanno scoperto la sua esistenza ma anche che i cybercriminali se ne sono serviti per i propri scopi. La vittima riceveva una pseudo-immagine e, quando la apriva, il computer veniva infettato. Il sistema operativo in teoria avvisa l\u2019utente quando \u00e8 in procinto di aprire un file eseguibile proveniente da una fonte sconosciuta, il che dovrebbe destare qualche sospetto nell\u2019utente. Purtroppo, per\u00f2, molte persone accettano di aprire il file senza leggere il messaggio in questione.<\/p>\n

\"\"

Se visualizzate questa finestra, fermatevi un po\u2019 a riflettere. Anzi, fermatevi proprio e non andate oltre.<\/p><\/div>\n

Quando viene aperto il file, viene mostrata davvero l\u2019immagine di un gattino, per non destare sospetti e, nel frattempo, con i suoi payload il malware lavora dietro le quinte, svolgendo diverse operazioni a seconda della sua configurazione.<\/p>\n

Un tipo di payload in realt\u00e0 Fa s\u00ec che il malware lavori come miner occulto<\/a>: il computer funziona pi\u00f9 lentamente, si surriscalda e si occupa di effettuare il mining di criptomonete al posto dei cybercriminali. Un altro tipo di payload \u00e8 una backdoor<\/a> che consente ai cybercriminali di prendere il controllo del computer in remoto e di farci di tutto, da installare o rimuovere programmi a raccogliere dati personali. Questo tipo di infezione pu\u00f2 rimanere silente per molto tempo senza destare alcun tipo di sospetto.<\/p>\n

Keep calm and carry on<\/strong><\/h3>\n

I nostri ricercatori hanno prontamente informato gli sviluppatori di Telegram della vulnerabilit\u00e0, che \u00e8 gi\u00e0 stata risolta (per la \u201cgioia\u201d di tutti quei cybercriminali che avrebbero voluto approfittarne). Comunque sia, ci\u00f2 non vuol dire che Telegram o altre app di messaggistica siano esenti da vulnerabilit\u00e0, solamente non ne sono ancora a conoscenza. Per proteggervi da future epidemie, vi consigliamo di seguire alcune semplici regole di sicurezza, valide per social network, messaggi istantanei e altri mezzi di comunicazione elettronica:<\/p>\n