{"id":12475,"date":"2018-02-13T05:50:00","date_gmt":"2018-02-13T11:50:00","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=12475"},"modified":"2018-12-14T02:35:41","modified_gmt":"2018-12-14T08:35:41","slug":"telegram-rlo-vulnerability","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/telegram-rlo-vulnerability\/12475\/","title":{"rendered":"Im\u00e1genes maliciosas en Telegram"},"content":{"rendered":"

Las aplicaciones de mensajer\u00eda no solo son una herramienta \u00fatil para mantener el contacto, sino que tambi\u00e9n son una ventana abierta a trav\u00e9s de la que los intrusos pueden entrar a nuestras vidas. Parece que fue ayer cuando hablamos del troyano para Android Skygofree<\/a>, que esp\u00eda a trav\u00e9s de Facebook Messenger, Skype, Viber, WhatsApp y otras plataformas. Bueno, hoy vamos a hablar sobre una nueva infecci\u00f3n multifuncional que detectaron nuestros expertos. Afecta a las computadoras de escritorio y se propaga a trav\u00e9s de Telegram de una forma muy ingeniosa.<\/p>\n

\"\"<\/p>\n

\u00a1Malware<\/i> escondido en la foto de un gatito!<\/h2>\n

Una de las principales tareas de los creadores de troyanos es persuadir a los usuarios para que ejecuten malware<\/i>. Para ello, usan algunas trucos para darle una imagen inocente a archivos peligrosos.<\/p>\n

Para este truco en particular, hay que tener en cuenta que algunos idiomas se escriben de derecha a izquierda, por ejemplo, el \u00e1rabe y el hebreo, y que Unicode, el est\u00e1ndar inform\u00e1tico y el conjunto casi ubicuo de caracteres, proporciona una opci\u00f3n para cambiar la direcci\u00f3n de las palabras escritas. Usa un car\u00e1cter invisible especial y la secuencia de letras que sigue se muestra autom\u00e1ticamente en orden inverso. Eso es lo que los hackers<\/i> explotaron en un ataque reciente.<\/p>\n

Sup\u00f3n que un ciberdelincuente crea un archivo malicioso llamado Trojan.js. Como puedes ver en la extensi\u00f3n JS, se trata de un archivo JavaScript y puede contener cualquier c\u00f3digo ejecutable. Un usuario prudente inmediatamente huele el peligro y no lo ejecuta. Pero el estafador puede cambiarle el nombre, por ejemplo: cute_kitten*U+202E*gnp.js.<\/p>\n

Eso ser\u00eda incluso peor para un usuario, pero aqu\u00ed, U+202E es el car\u00e1cter Unicode que hace que las letras y los signos de puntuaci\u00f3n se muestren de derecha a izquierda. El nombre del archivo que surge se mostrar\u00e1 de la siguiente manera: cute_kittensj.png. Ahora la extensi\u00f3n del archivo parece ser PNG: parece un archivo de imagen perfectamente normal, pero en realidad es un troyano de JavaScript.<\/p>\n

El truco de cambiar el nombre de un archivo con Unicode no es nuevo. Se utiliz\u00f3 para enmascarar archivos adjuntos maliciosos en correos electr\u00f3nicos y archivos de descarga hace casi una d\u00e9cada<\/a>, y muchos entornos ya est\u00e1n protegidos contra ello. Pero cuando Telegram fue atacado por primera vez, funcion\u00f3. En otras palabras, Telegram sufre (o m\u00e1s bien, sufri\u00f3) la llamada vulnerabilidad RLO, que fue lo que nuestros investigadores descubrieron.<\/p>\n

La imagen de un gatito se convierte en minero o en una puerta trasera<\/h3>\n

La vulnerabilidad se detect\u00f3 solo en los clientes de Telegram Windows, no en aplicaciones m\u00f3viles. Nuestros expertos descubrieron no solo su existencia, sino tambi\u00e9n que los atacantes la estaban utilizando de forma activa. Los sistemas operativos de las v\u00edctimas deber\u00edan advertirles si est\u00e1n a punto de ejecutar un archivo desde una fuente desconocida, lo que deber\u00eda hacer sonar algunas alarmas, pero muchas personas hacen clic en Ejecutar<\/i> sin mirar el mensaje.<\/p>\n

\"\"

Si ves una venta como esta, p\u00e1rate y piensa. Bueno, solo p\u00e1rate<\/p><\/div>\n

\u00a0<\/p>\n

Una vez lanzado, el malware<\/i> muestra un \u201clindo gatito\u201d para sofocar cualquier se\u00f1al de alarma. El troyano viene con diferentes tipos de carga para ejecutar, dependiendo de su configuraci\u00f3n.<\/p>\n

La primera carga es un minero oculto<\/a>. Al ejecutarlo, la computadora se ralentiza, se sobrecalienta y, en general, da todo de s\u00ed para extraer criptomonedas para los atacantes. La segunda es una puerta trasera<\/a> que permite a los ciberdelincuentes controlar la computadora de forma remota y hacer todo lo que quieran con \u00e9l, desde eliminar e instalar programas hasta recopilar datos personales. Este tipo de infecci\u00f3n puede permanecer oculta durante mucho tiempo sin que el usuario sospeche nada.<\/p>\n

No pierdas la calma<\/h3>\n

Nuestros investigadores informaron de inmediato sobre la vulnerabilidad a los desarrolladores de Telegram, que lo arreglaron (para gran disgusto de los cibercriminales que quer\u00edan explotarlo). Sin embargo, esto no significa que Telegram y otras aplicaciones populares de mensajer\u00eda instant\u00e1nea est\u00e9n libres de vulnerabilidades. Simplemente no han sido informados a\u00fan. Entonces, para mantenerte protegido contra plagas futuras, repasa algunas reglas de seguridad simples. Estas te sirven para redes sociales, mensajer\u00eda instant\u00e1nea y cualquier otro medio de comunicaci\u00f3n electr\u00f3nica:<\/p>\n