Ir al contenido principal

¿Como Funciona la vulnerabilidad de Telegram?

Hace unos días los medios de comunicación se hicieron eco de una vulnerabilidad que estaba presente en el cliente Telegram que fue publicada el 13 de febrero de 2018 por Kaspersky Lab, aunque Karspersky ya tenía constancia de la misma desde octubre de 2017. Esta estaba presente en el cliente de “Telegram Messenger’s Windows”.

  • ¿Cómo funcionaba esta vulnerabilidad?

Esta vulnerabilidad, hacía uso del carácter en Unicode ‘U+202E’. Este cambia el orden de los caracteres, el carácter ‘U+202E’ es utilizado de forma legítima para lenguajes como son como el Árabe (Ya que el Árabe se escribe de Derecha a Izquierda a diferencia de otros idiomas que lo hacen a la inversa)


Una vez teniendo claro lo anterior los atacantes lo utilizaban para que un archivo que era un JavaScript (.js) pareciese un inofensivo Portable Network Graphics (.png), Para que quede claro haré una pequeña vídeo-demo


 (Sigue siendo un JavaScript y el sistema lo detecta como JS, solo se engaña al usuario)

Una vez visto esto así era como quedaba cuando este procedimiento lo realizábamos en el cliente de Telegram
  • ¿Cómo se explotó esta vulnerabilidad por los cibercriminales? (Solo se explica uno en concreto para más información te animo a visitar el paper de Karspersky)
Los investigadores se encontraron de todo pero sin duda la mayoría se estaban utilizando para el minado de criptomonedas a las víctimas se les engañaba con la terminación PNG estos pensarían que es una imagen y la ejecutarían, empezaría la apertura de un archivo SFX y el lanzamiento de un VBScript que este abriría una imagen como señuelo para poder distraer al usuario y no levantar ninguna sospecha.
Para que luego este inicie el minado de criptomonedas que se alojara bajo el nombre “csrs.exe” si lo detenemos con el administrador de tareas este volverá a ejecutarse.

 Opinión Personal
Como dije en mi anterior post que podéis ver aquí, solo era cuestión de tiempo que veamos ataques relacionados con el minado de criptomonedas ya que es muy lucrativo a día de hoy y cada día serán más frecuentes 

Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

WriteUp Reto 12+1 del CTF #H4F

Los chicos de “Η a ϲ k е rs4 Ϝ un   ᏟᎢ F  Τе a ⅿ p ropusieron un CTF/reto, al que voy a dar la versión de cómo lo  resolví  a esto se le llama  Write Up. Para lo que no sepáis lo que es  un CTF son una serie de desafíos informáticos enfocados a la seguridad . Manos a la obra enunciado Descargamos desde el enlace el archivo. https://drive.google.com/file/d/1f0P_c6xwdt5a0Rg1fXRbEFzVjVDppY3d/view Nos encontraremos un archivo comprimido que contiene una imagen que si inspeccionamos más a fondo descubriremos que dentro de ella hay un .zip Así pues cambiamos la extensión a .zip para ver su contenido, dentro de este zip nos encontramos otro archivo .zip el cual se llama output.zip y está dañado por lo que  debemos repararlo , por ejemplo yo lo hice con la propia herramienta que trae winRaR. Después de repararlo encontramos tres archivos, hay 2 .wav   (estos con contraseña) y 1 txt. El txt se llama pas...
Publicar un comentario
Leer más

¿Cómo reportar una Vulnerabilidad Y No Acabar Picando Piedra?

Has encontrado una vulnerabilidad y quieres reportarla, pues debes saber que no es un proceso sencillo ya que pueden pasarte las siguientes cosas: Que lo reportes y ni te contesten. Que lo reportes, te contesten dándote las gracias y ni lo arreglen.   Que lo reportes, se cabreen y acabes demandado por la empresa, solo por querer ayudarles a mejorar su seguridad.  Que lo reportes, te contesten y lo solucionen (No suele ser la más común) Así que aquí van unos consejos para que consigas reportar la vulnerabilidad de forma efectiva y no acabes mal parado: 1º Comprueba si tienen un sistema de bug bounty : Son programas en los que se premian (económicos, Hall of fame ...
Publicar un comentario
Leer más

Montando un IDS en clase (suricata)

Hace unos días, mi profesor me pidió que explicara que era  motorizar una red  y decidí darle una vuelta de tuerca más. Así que decidí comentarle si podía  instalar Suricata que como muchos conoceréis es un IDS.  Tras la instalación de este decidí ponerlo en funcionamiento durante varios días. Puesto que tenia que sacar una video-demo, tras muchos días y crear   alguna regla para que saltara alguna alarma para poder enseñar que podía catalogar cualquier tipo de trafico para su posterior alarma.   En concreto use esta: " alert icmp any any -> any any (msg: "ICMP detected";)" Tras varios días de normalidad, grabar mi video-demo y tener la presentación del proyecto para presentarla en 5 minutos decido encender mi maquina con  Suricata  y hacer  tail -f al log . Cuando quedan 2 minutos para la presentación, empiezo a ver trafico algo sospechoso hasta finalmente Suricata me confirma que había alguien en mi clase util...
Publicar un comentario
Leer más