I servizi di messaggistica non sono solo uno strumento utile per
rimanere in contatto con persone lontane, ma rappresentano anche una
porta d’entrata per i cybercriminali. Sembra ieri quando parlavamo di Skygofree,
il Trojan rivolto ai dispositivi Android che consente ai cybercriminali
di spiare gli utenti sul Messenger di Facebook, su Skype, Viber,
Whatsapp e altre piattaforme.
Oggi invece parleremo di una nuova infezione scoperta dai nostri
esperti, capace di operare su più fronti, che si intrufola sui computer
fissi e che si diffonde attraverso Telegram impiegando una tecnica
piuttosto ingegnosa.
Malware sotto le mentite spoglie di foto di gattini!
Uno dei compiti principali di chi crea un Trojan è di convincere gli
utenti ad attivare il malware di propria iniziativa; si inventano i
trucchi più fantasiosi per fare in modo che questi file pericolosi
sembrino in realtà assolutamente innocui.
Per questo trucco in questione, vale la pena ricordare che in alcune
lingue si scrive da destra verso sinistra (in arabo ed ebraico, ad
esempio). Unicode, sistema di codifica di caratteri presente
praticamente ovunque, consente di cambiare il verso delle parole
scritte; è necessario inserire solamente un carattere speciale
invisibile e la stringa di lettere che segue sarà visualizzata in senso
inverso. Gli hacker sono riusciti a sfruttare questa particolarità in un
recente attacco.
Immaginiamo che un cybercriminale crei un file dannoso chiamato
Trojan.js. Si tratta di un file Javascript, come si evince
dall’estensione JS del file, che potrebbe contenere un codice
eseguibile; un utente cauto potrebbe insospettirsi immediatamente e non
aprirebbe il file. Ma un cybercriminale può cambiare il nome del file,
ad esempio in questo modo: cute_kitten*U+202E*gnp.js.
Questo nome potrebbe sembrare ancora più sospetto per un utente;
tuttavia, grazie al carattere Unicode U+202E, le lettere e i segni di
interpunzione che seguono questo codice verranno scritti da destra verso
sinistra. In questo modo il nome del file diventerà cute_kittensj.png, con
un’apparente estensione png.
Sembra così un’immagine normale, anche se
continua a svolgere le funzioni di un Trojan JavaScript.
Il trucco di rinominare i file utilizzando Unicode non è nuovo, è stato impiegato già una decina di anni fa
per nascondere allegati email dannosi e download di file (molti
ambienti sono già protetti da questo genere di stratagemma). Tuttavia,
su Telegram ha funzionato al primo tentativo perché su Telegram era
presente la cosiddetta vulnerabilità RLO, individuata dai nostri
ricercatori.
Le foto di gattini si trasformano in miner o backdoor
La vulnerabilità è stata riscontrata solo sul client Windows di
Telegram, non nelle app per dispositivi mobili. I nostri esperti non
solo hanno scoperto la sua esistenza ma anche che i cybercriminali se ne
sono serviti per i propri scopi. La vittima riceveva una
pseudo-immagine e, quando la apriva, il computer veniva infettato. Il
sistema operativo in teoria avvisa l’utente quando è in procinto di
aprire un file eseguibile proveniente da una fonte sconosciuta, il che
dovrebbe destare qualche sospetto nell’utente. Purtroppo, però, molte
persone accettano di aprire il file senza leggere il messaggio in
questione.
Quando viene aperto il file, viene mostrata davvero l’immagine di un
gattino, per non destare sospetti e, nel frattempo, con i suoi payload
il malware lavora dietro le quinte, svolgendo diverse operazioni a
seconda della sua configurazione.
Un tipo di payload in realtà Fa sì che il malware lavori come miner occulto:
il computer funziona più lentamente, si surriscalda e si occupa di
effettuare il mining di criptomonete al posto dei cybercriminali.
Un
altro tipo di payload è una backdoor
che consente ai cybercriminali di prendere il controllo del computer in
remoto e di farci di tutto, da installare o rimuovere programmi a
raccogliere dati personali. Questo tipo di infezione può rimanere
silente per molto tempo senza destare alcun tipo di sospetto.
Keep calm and carry on
I nostri ricercatori hanno prontamente informato gli sviluppatori di
Telegram della vulnerabilità, che è già stata risolta (per la “gioia” di
tutti quei cybercriminali che avrebbero voluto approfittarne). Comunque
sia, ciò non vuol dire che Telegram o altre app di messaggistica siano
esenti da vulnerabilità, solamente non ne sono ancora a conoscenza. Per
proteggervi da future epidemie, vi consigliamo di seguire alcune
semplici regole di sicurezza, valide per social network, messaggi
istantanei e altri mezzi di comunicazione elettronica:
- Non scaricate né aprite file provenienti da fonti pericolose o sconosciute. Meglio pensarci due volte prima di aprire una foto;
- Se il sistema vi avverte della pericolosità di aprire un file, verificate che la descrizione coincida con il file che avete intenzione di aprire;
- Installate una soluzione di sicurezza affidabile come Kaspersky Internet Security, che vi aiuterà a individuare i malware nascosti in fantomatiche immagini durante le fasi di download o installazione. Ovviamente, sarete protetti anche da altre tipologie di infezioni.