EvilVideo: L’Exploit Zero-Day Che Minaccia Telegram su Android

Redazione RHC : 23 Luglio 2024 07:33

I ricercatori ESET hanno scoperto un exploit zero-day che prende di mira Telegram per Android. Un exploit chiamato EvilVideo è apparso in vendita su un forum clandestino il 6 giugno 2024. Gli aggressori hanno sfruttato questa vulnerabilità per distribuire file dannosi attraverso canali, gruppi e chat di Telegram, mascherandoli da file multimediali.

Gli specialisti sono riusciti a ottenere un esempio dell’exploit, che ha permesso loro di analizzarlo e segnalare il problema su Telegram il 26 giugno. Un aggiornamento che risolve la vulnerabilità è stato rilasciato l’11 luglio 2024 nelle versioni di Telegram 10.14.5 e successive.

La vulnerabilità ha consentito agli aggressori di inviare file dannosi che sembravano video nelle versioni non protette di Telegram per Android (10.14.4 e precedenti). L’exploit è stato trovato su un forum clandestino, dove il venditore ha dimostrato il proprio lavoro in un canale Telegram pubblico.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ciò ha consentito ai ricercatori di ottenere il file dannoso e di testarlo.

L’analisi ha dimostrato che l’exploit sfruttava la capacità di creare file dannosi che venivano visualizzati come anteprime multimediali. Durante il tentativo di riprodurre un “video” di questo tipo, Telegram ha riferito che non era possibile riprodurre il file e ha suggerito di utilizzare un lettore esterno.

Facendo clic sul pulsante “Apri”, all’utente veniva chiesto di installare un’applicazione dannosa mascherata da lettore.

Telegram ha risolto la vulnerabilità nella versione 10.14.5. Le anteprime dei file multimediali ora indicano correttamente che il file è un’applicazione e non un video.

L’exploit è stato testato sulla versione web e desktop di Telegram per Windows, ma non ha funzionato. In entrambi i casi il file è stato riconosciuto come multimediale e non rappresentava alcuna minaccia.

Si è scoperto inoltre che il venditore dell’exploit offriva un servizio di crittografia per Android, rendendo i file dannosi invisibili agli antivirus. Questo servizio è pubblicizzato sullo stesso forum underground da gennaio 2024.

Dopo aver scoperto la vulnerabilità e averla segnalata a Telegram, il problema è stato risolto. Si consiglia agli utenti di aggiornare l’applicazione alla versione più recente per proteggersi da potenziali minacce.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli