Un grupo de investigadores de Reason Securirt informaron sobre un error crítico en la aplicación Facebook Messenger que permitía ataques persistentes de malware a largo plazo. El error es específico para la versión de escritorio de Windows. La aplicación vulnerable activaba la llamada y cargaba la ruta de Powershell que ejecutaba el código malicioso. La […]
Un grupo de investigadores de Reason Securirt informaron sobre un error crítico en la aplicación Facebook Messenger que permitía ataques persistentes de malware a largo plazo. El error es específico para la versión de escritorio de Windows. La aplicación vulnerable activaba la llamada y cargaba la ruta de Powershell que ejecutaba el código malicioso.
La falla fue descubierta en una versión 460.16 de Messenger. Se informó que el atacante que aprovecha la aplicación defectuosa podía ejecutar potencialmente archivos maliciosos presentes en el sistema comprometido e intentar obtener un acceso extendido.
Aparentemente, Facebook fue informado en abril sobre esto, y lanzo en el corto plazo un parche para mitigar la falla, es así como la versión actualizada de Facebook Messenger para usuarios de Windows disponible en Microsoft Store se encuentra libre de este error.
El error existía porque una versión particular de la aplicación ejecutaba un código inusual que permitía al atacante obtener acceso persistente al sistema de una máquina. Así es como los atacantes podían secuestrar la llamada a través de Messenger y ejecutar el malware. El Powershell.exe realizaba un particular llamado de lanzamiento al directorio Python27, lo que atrajo la atención de los investigadores.
“Cuando vimos eso, supimos que habíamos encontrado algo, ya que la ubicación de “Python27” está en el directorio “c: \ python27”, que es una ubicación de baja integridad. Esto significa que cada programa malicioso puede acceder a la ruta sin ningún privilegio de administrador”.
El directorio de destino está en una ubicación de baja integridad, por lo que pueden inyectarse programas maliciosos sin ningún permiso o derechos de administrador. El equipo de investigadores lanzó una prueba para detectar la falla, por lo que el shell se disfrazó y se implementó en el directorio de Python. La llamada de la aplicación Messenger se activó con éxito y el shell se ejecutó. Esta acción demostró que los actores maliciosos podían explotar fácilmente la falla y realizar ataques.
Por lo general los cibercriminales usan métodos de persistencia que se centran en modificar el registro, inyectar tareas programadas, servicios y mantener el acceso activo al sistema. Sin embargo, la falla que se presentó es más compleja porque los atacantes pueden detectar si la aplicación está haciendo llamadas no deseadas o profundizar en el código binario de la aplicación y encontrar la función para hacer una llamada.
Por el momento no hay indicaciones particulares de que esta vulnerabilidad haya sido explotada. No obstante, los ciberdelincuentes pueden usar la falla y aprovechar la oportunidad para ejecutar actividades maliciosas durante períodos prolongados. Se trata de problemas de persistencia, por tanto, actores maliciosos pueden inyectar ransomware, filtrar datos o violar información.
Estos métodos persistentes suelen acostumbrarse a dirigirse a instituciones particulares, gobiernos y empresas. Los hacks especializados afectan a instituciones financieras, oficinas, empresas en diversas industrias. Tales fallas en las aplicaciones de mensajería son más preocupantes porque durante este tiempo, y a causa de la pandemia, las personas recurren a
estas aplicaciones y las usan con mayor intensidad y frecuencia que antes.
El número de aplicaciones en la plataforma Google Play que se identificaron como malware se duplicó durante el primer semestre de 2020 con respecto a los datos del mismo periodo de tiempo del año pasado, superando las 29 mil aplicaciones maliciosas y los 11 millones de equipos infectados.