Las aplicaciones de mensajería no solo son una herramienta útil para mantener el contacto, sino que también son una ventana abierta a través de la que los intrusos pueden entrar en nuestras vidas. Parece que fue ayer cuando hablamos del troyano para Android Skygofree, que espía a través de Facebook Messenger, Skype, Viber, WhatsApp y otras plataformas. Bueno, hoy vamos a hablar sobre una nueva infección multifuncional que han detectado nuestros expertos. Afecta a los ordenadores de sobremesa y se propaga a través de Telegram de una forma muy ingeniosa.
¡Malware escondido en la foto de un gatito!
Una de las principales tareas de los creadores de troyanos es persuadir a los usuarios para que ejecuten malware. Para ello, usan algunas trucos para darle una imagen inocente a archivos peligrosos.
Para este truco en particular, hay que tener en cuenta que algunos idiomas se escriben de derecha a izquierda, por ejemplo, el árabe y el hebreo, y que Unicode, el estándar informático y el conjunto casi ubicuo de caracteres, proporciona una opción para cambiar la dirección de las palabras escritas. Usa un carácter invisible especial y la secuencia de letras que sigue se muestra automáticamente en orden inverso. Eso es lo que los hackers explotaron en un ataque reciente.
Supón que un ciberdelincuente crea un archivo malicioso llamado Trojan.js. Como puedes ver en la extensión JS, se trata de un archivo JavaScript y puede contener cualquier código ejecutable. Un usuario prudente inmediatamente huele el peligro y no lo ejecuta. Pero el estafador puede cambiarle el nombre, por ejemplo: cute_kitten*U+202E*gnp.js.
Eso sería incluso peor para un usuario, pero aquí, U+202E es el carácter Unicode que hace que las letras y los signos de puntuación se muestren de derecha a izquierda. El nombre del archivo que surge se mostrará de la siguiente manera: cute_kittensj.png. Ahora la extensión del archivo parece ser PNG: parece un archivo de imagen perfectamente normal, pero en realidad es un troyano de JavaScript.
El truco de cambiar el nombre de un archivo con Unicode no es nuevo. Se utilizó para enmascarar archivos adjuntos maliciosos en correos electrónicos y archivos de descarga hace casi una década, y muchos entornos ya están protegidos contra ello. Pero cuando Telegram fue atacado por primera vez, funcionó. En otras palabras, Telegram sufre (o más bien, sufrió) la llamada vulnerabilidad RLO, que fue lo que nuestros investigadores descubrieron.
La imagen de un gatito se convierte en minero o en una puerta trasera
La vulnerabilidad se detectó solo en los clientes de Telegram Windows, no en aplicaciones móviles. Nuestros expertos descubrieron no solo su existencia, sino también que los atacantes la estaban utilizando de forma activa. Los sistemas operativos de las víctimas deberían advertirles si están a punto de ejecutar un archivo desde una fuente desconocida, lo que debería hacer sonar algunas alarmas, pero muchas personas hacen clic en Ejecutar sin mirar el mensaje.
Una vez lanzado, el malware muestra un “lindo gatito” para sofocar cualquier señal de alarma. El troyano viene con diferentes tipos de carga para ejecutar, dependiendo de su configuración.
La primera carga es un minero oculto. Al ejecutarlo, el ordenador se ralentiza, se sobrecalienta y, en general, da todo de sí para extraer criptomonedas para los atacantes. La segunda es una puerta trasera que permite a los ciberdelincuentes controlar el ordenador de forma remota y hacer todo lo que quieran con él, desde eliminar e instalar programas hasta recopilar datos personales. Este tipo de infección puede permanecer oculta durante mucho tiempo sin que el usuario sospeche nada.
No pierdas la calma
Nuestros investigadores informaron de inmediato sobre la vulnerabilidad a los desarrolladores de Telegram, que lo arreglaron (para gran disgusto de los cibercriminales que querían explotarlo). Sin embargo, esto no significa que Telegram y otras aplicaciones populares de mensajería instantánea estén libres de vulnerabilidades. Simplemente no han sido informados aún. Entonces, para mantenerte protegido contra plagas futuras, repasa algunas reglas de seguridad simples. Estas te sirven para redes sociales, mensajería instantánea y cualquier otro medio de comunicación electrónica:
- No descargues ni abras archivos de fuentes peligrosas. Si alguien hasta ahora desconocido te envía una imagen, piénsalo dos veces antes de abrirla.
- Si ves una advertencia del sistema sobre la apertura de un archivo, considera si la descripción coincide con el archivo que estás a punto de abrir.
- Instala una solución de seguridad de fiar como Kaspersky Internet Security, que ayudará a detectar el malware que se esconde tras una imagen durante la descarga o la instalación y protegerá tu ordenador contra otras infecciones.