Uno dei compiti principali di chi crea un Trojan è di convincere gli utenti ad attivare il malware di propria iniziativa; si inventano i trucchi più fantasiosi per fare in modo che questi file pericolosi sembrino in realtà assolutamente innocui.

Per questo trucco in questione, vale la pena ricordare che in alcune lingue si scrive da destra verso sinistra (in arabo ed ebraico, ad esempio). Unicode, sistema di codifica di caratteri presente praticamente ovunque, consente di cambiare il verso delle parole scritte; è necessario inserire solamente un carattere speciale invisibile e la stringa di lettere che segue sarà visualizzata in senso inverso. Gli hacker sono riusciti a sfruttare questa particolarità in un recente attacco.

Immaginiamo che un cybercriminale crei un file dannoso chiamato Trojan.js. Si tratta di un file Javascript, come si evince dall’estensione JS del file, che potrebbe contenere un codice eseguibile; un utente cauto potrebbe insospettirsi immediatamente e non aprirebbe il file. Ma un cybercriminale può cambiare il nome del file, ad esempio in questo modo: cute_kitten*U+202E*gnp.js.

Questo nome potrebbe sembrare ancora più sospetto per un utente; tuttavia, grazie al carattere Unicode U+202E, le lettere e i segni di interpunzione che seguono questo codice verranno scritti da destra verso sinistra. In questo modo il nome del file diventerà cute_kittensj.png, con un’apparente estensione png.

Sembra così un’immagine normale, anche se continua a svolgere le funzioni di un Trojan JavaScript.

Il trucco di rinominare i file utilizzando Unicode non è nuovo, è stato impiegato già una decina di anni fa per nascondere allegati email dannosi e download di file (molti ambienti sono già protetti da questo genere di stratagemma). Tuttavia, su Telegram ha funzionato al primo tentativo perché su Telegram era presente la cosiddetta vulnerabilità RLO, individuata dai nostri ricercatori.

La vulnerabilità è stata riscontrata solo sul client Windows di Telegram, non nelle app per dispositivi mobili. I nostri esperti non solo hanno scoperto la sua esistenza ma anche che i cybercriminali se ne sono serviti per i propri scopi. La vittima riceveva una pseudo-immagine e, quando la apriva, il computer veniva infettato. Il sistema operativo in teoria avvisa l’utente quando è in procinto di aprire un file eseguibile proveniente da una fonte sconosciuta, il che dovrebbe destare qualche sospetto nell’utente. Purtroppo, però, molte persone accettano di aprire il file senza leggere il messaggio in questione.

Quando viene aperto il file, viene mostrata davvero l’immagine di un gattino, per non destare sospetti e, nel frattempo, con i suoi payload il malware lavora dietro le quinte, svolgendo diverse operazioni a seconda della sua configurazione.

Un tipo di payload in realtà Fa sì che il malware lavori come miner occulto: il computer funziona più lentamente, si surriscalda e si occupa di effettuare il mining di criptomonete al posto dei cybercriminali.

Un altro tipo di payload è una backdoor che consente ai cybercriminali di prendere il controllo del computer in remoto e di farci di tutto, da installare o rimuovere programmi a raccogliere dati personali. Questo tipo di infezione può rimanere silente per molto tempo senza destare alcun tipo di sospetto.

I nostri ricercatori hanno prontamente informato gli sviluppatori di Telegram della vulnerabilità, che è già stata risolta (per la “gioia” di tutti quei cybercriminali che avrebbero voluto approfittarne). Comunque sia, ciò non vuol dire che Telegram o altre app di messaggistica siano esenti da vulnerabilità, solamente non ne sono ancora a conoscenza. Per proteggervi da future epidemie, vi consigliamo di seguire alcune semplici regole di sicurezza, valide per social network, messaggi istantanei e altri mezzi di comunicazione elettronica: