Pese a las regulaciones gubernamentales contra las criptomonedas en China y Corea del Sur, es innegable el crecimiento que ha experimentado este sector durante los últimos meses.
Este auge, junto al nivel de anonimato auspiciado por las monedas digitales, ha sido el principal atractivo para los hackers, quienes han creado diversas herramientas de ataque para minar criptomonedas a expensas de los recursos de hardware de los usuarios. Más allá de las advertencias, actualizaciones de software sugeridas y las soluciones informáticas implementadas, este problema sigue en crecimiento.
Los investigadores de la firma de seguridad informática Kaspersky Lab han revelado una nueva vulnerabilidad de día cero en la versión de escritorio de la aplicación Telegram para Windows.
Esta vulnerabilidad ha permitido la implementación de ataques in the wild a través de dos clases de malware, uno que abre la puerta trasera en los ordenadores, y otro que minaba criptomonedas como ZCash o Monero.
De acuerdo a los investigadores, la vulnerabilidad en Telegram se basa en un método llamado RTLO, también conocido como anulación de derecha a izquierda, la cual se aprovecha de ciertas características del sistema Windows e interpreta los idiomas escritos de derecha a izquierda para hacer pasar a archivos maliciosos por imágenes.
Un carácter Unicode que está oculto en el nombre del archivo es la herramienta ideal para que los hackers puedan invertir el orden de los caracteres y lo cambien por completo. De esta forma, un archivo Javascript con el nombre photo-high-regnp.js pasó a llamarse photo-high-resj.png. Luego, al hacer clic sobre el archivo, y con el aviso de seguridad de Windows, se permite la descarga con el nombre alterado y el archivo en formato PNG.
Al estar instalado en el sistema, el malware permite aprovecharse de los recursos de hardware de los ordenadores de los usuarios para minar criptomonedas. Asimismo, los investigadores revelaron en su informe que los servidores de un hacker contenían cachés de Telegram que fueron robadas a los usuarios, algo que pone en tela de juicio la seguridad de la aplicación.
En el segundo de los casos, Kaspersky reveló que la vulnerabilidad también ha sido explotada para instalar una puerta trasera que usa la API de Telegram como protocolo de control. Esto quiere decir que los hackers pudieron acceder remotamente a los equipos de las víctimas sin que estas se dieran cuenta, pudiendo instalar diversos recursos de spyware.
Esta vulnerabilidad fue aprovechada desde el mes de marzo de 2017 para sistemas Windows, sin embargo, no se dieron detalles en el informe sobre cuánto tiempo fue explotado el fallo y cuáles fueron las versiones afectadas.