rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Уязвимость нулевого дня в Telegram использовалась хакерами для заражения пользователей мессенджера

Исследователи «Лаборатории Касперского» обнаружили случаи эксплуатации уязвимости в клиенте мессенджера Telegram для Windows. По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносное ПО. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта.

Уязвимость заключалась в использовании так называемой атаки right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков. Обычно он используется при работе с языками, в которых текст идет справа налево, например, с арабским языком или ивритом. Однако злоумышленники могут его использовать для того, чтобы вводить в заблуждение пользователей: RLO меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл.

Эксперты «Лаборатории Касперского» определили несколько целей злоумышленников. Для достижения первой киберпреступники использовали уязвимость для доставки бэкдора. В результате хакеры получали удаленный доступ к компьютеру жертвы. В качестве командного протокола ПО использовало Telegram API. После установки бэкдор работал в скрытом режиме, ничем не обнаруживая себя. При этом он выполнял различные команды злоумышленников, включая дальнейшую установку шпионского ПО.

Вторая цель — уязвимость эксплуатировалась для распространения ПО для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали различные криптовалюты, такие как Monero, Zcash, Fantomcoin и другие.

Кроме того, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них, кроме исполняемых и служебных файлов приложения, содержал в зашифрованном виде различные материалы пользователя, задействованные в переписке: документы, аудио-  и видеозаписи, фотографии.

Артефакты, обнаруженные исследователями, позволяют предположить русскоязычное происхождение преступников. По данным «Лаборатории Касперского», все случаи эксплуатации уязвимости были зафиксированы в России.

«Популярность мессенджеров сегодня невероятно высока. Поэтому разработчикам очень важно обеспечивать надежную защиту пользователей, чтобы те не стали легкой мишенью для преступников. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — отметил Алексей Фирш, антивирусный эксперт «Лаборатории Касперского».

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Интернет, ПО, Web, Безопасность

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



ИЛИ
     
 

MSKIT.RU: последние новости Москвы и Центра

20.02.2018 Треть B2B-компаний будут использовать искусственный интеллект уже в 2020 году

15.02.2018 Могут ли спортивные трансляции изменить модель телесмотрения?

13.02.2018 Треть россиян потеряны для соцсетей и мессенджеров

08.02.2018 Банки вырастут на ИИ и роботизации

06.02.2018 До бизнес-аналитики – как до Луны

05.02.2018 Ретейлерам придется потратиться на Скайнет

02.02.2018 ECM-вендор догоняет интеграторов

31.01.2018 Юбилей CSTB: HD, 4K и перипетии регулирования

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга