Usan Telegram para enviar un troyano que mina criptomonedas

Publicado el 13 febrero 2018 por Cosmoduende @cosmoduende

Kaspersky labs reportó hoy que encontraron un troyano que permite instalar malware que mina criptomonedas como Bitcoin por medio de Telegram.

El 2016 y el 2017, el ransomware estuvo de moda dentro del mundo del malware, pero al parecer el 2018 será el año de la minería de criptomonedas. Durante ya varios meses hemos escuchado de muchos sitios que usan ciertos programas como el de monero para hacer que las computadoras de los visitantes minen mientras usan el sitio, algunos sitios mencionan la acción como una forma de solventar su sitio y hasta brindan la opción de apoyar de esta manera o no, otros sitios simplemente no dicen nada, lo cual presenta un conflicto ético ya que esta acción les resta batería a los equipos de los usuarios y ocupa gran cantidad de recursos en la misma.

El día de hoy Kaspersky reportó que al parecer algunos hackers comenzaron a provechar una vulnerabilidad en Telegram (más  ineniería social) para instalar malware que mina criptomonedas.

Así funciona

El  troyano que solo afecta la versión de Telegram para Widows, se hace pasar por un mensaje en Telegram con una foto que no muestra imagen previa, algo como “cute_kittensj.png” por la extensión png, la víctima asume que se trata solo de una imagen y al dar clic a la imagen sale una ventana para correr un programa, esto para la mayoría de las personas debería ser una alerta roja ya que ninguna imagen requiere algo así, pero como menciona el blog de Kaspersky, muchas personas de todos modos le darán clic al botón de ejecutar y mientras el troyano comienza a correr sin ser detectado, en el mensaje aparecerá la imagen prometida de un gato para no causar alarma.

El modo en que este troyano funciona, es que aprovecha una función de Unicode para voltear las letras ya que algunos idiomas como el árabe se leen de derecha a izquierda, entonces para esconder que lo que se envía es un archivo de Javascript con extensión JS, el atacante renombra el archivo como “cute_kittenU+202Egnp.js” el cual en el mensaje de telegram aparecerá como “cute_kittensj.png”

Ya fue arreglado

Por suerte, Kaspersky informa que la vulnerabilidad fue reportada a Telegram y ya fue arreglada, sin embargo hay que mencionar que este es solo otro ejemplo de como los atacantes están buscando métodos para hacer al usuario ejecutar un minador de criptomonedas y este es un juego del gato y el ratón.

¿Cómo protegerse de ataques similares?

Como siempre, los mejores consejos para protegerse de estos ataques, es solo descargar y abrir archivos de fuentes confiables, si es algo que recibes de un amigo o compañero, trata de confirmar que ellos hallan enviado el archivo directamente, fijarse en todos los avisos que pueden aparecer, no solo dar “ok” sin ver que es y de vez en cuando hacer un escaneo o usar un programa antivirus, anti malware o similares.