Hackere utnytter ‘Telegram Messenger’ Zero-Day-feil til å spre malware

Et nulldagssårbarhet er oppdaget i desktopversjonen for end-to-end kryptert Telegram Messaging-app som ble utnyttet i det wild for å spre malware som mines kryptokurver som Monero og ZCash.
Telegramsårbarheten ble avdekket av sikkerhetsforsker Alexey Firsh fra Kaspersky Lab i oktober og påvirker kun Windows-klienten til telegrammeldingsprogramvare.

Feilen har aktivt blitt utnyttet i naturen siden i hvert fall mars 2017 av angripere som lurte ofre til å laste ned ondsinnet programvare på sine PCer som brukte sin CPU-kraft til å minecryptocurrencies eller tjene som en bakdør for angriperne for å fjernstyrt den berørte maskinen, ifølge en bloggpost på Securelist.
Slik fungerer sikkerhetsproblemet i Telegram

Sikkerhetsproblemet ligger i den måten Windows-klienten håndterer Unicode-tegn (høyre til venstre-overstyring) (U + 202E), som brukes til koding av språk som skrives fra høyre til venstre, som arabisk eller hebraisk.
Ifølge Kaspersky Lab brukte malware-skaperne et skjult RLO Unicode-tegn i filnavnet som reverserte rekkefølgen av tegnene, og omdøpte filen selv og sendte den til Telegram-brukere.

For eksempel, når en angriper sender en fil med navnet “photo_high_re * U + 202E * gnp.js” i en melding til en Telegram-bruker, blir filens navn gjengitt på brukerens skjerm som viker på den siste delen.
Derfor vil telegrambrukeren se en innkommende PNG-bildefil (som vist i bildet nedenfor) i stedet for en JavaScript-fil, som vil føre til misvisende nedlasting av skadelige filer som er skjult som bildet.
“Som et resultat, brukerne lastet ned skjult skadelig programvare som da ble installert på sine datamaskiner,” sier Kaspersky i sin pressemelding publisert i dag.

Kaspersky Lab rapporterte sårbarheten til Telegram, og selskapet har siden patched sårbarheten i sine produkter, som det russiske sikkerhetsfirmaet sa: “På tidspunktet for publisering er nulldagens feil ikke blitt observert i messengerprodukter.”
Hackere brukte telegram til å infisere PCer med Cryptocurrency Miners
telegram-sårbarhet
Under analysen fant Kaspersky-forskerne flere scenarier om nulldagers utnyttelse i naturen av trusselskuespillere. Primært ble feilen utnyttet aktivt for å levere malware for kryptokurrency-minedrift, som bruker offerets PC-databehandlingskraft til å minske forskjellige typer kryptokurrency, inkludert Monero, Zcash, Fantomcoin og andre.
Mens de analyserte serverne av ondsinnede skuespillere, fant forskerne også arkiver som inneholdt et telegrams lokale cache som ble stjålet fra ofre.

I et annet tilfelle utnyttet cyberkriminelle suksess for å installere en bakdør-trojan som brukte telegram-API som en kommando- og kontrollprotokoll, slik at hackere kunne få ekstern tilgang til offerets datamaskin.
“Etter installasjonen begynte den å fungere i stille modus, noe som gjorde at trusselskuespilleren kunne forbli ubemerket i nettverket og utføre forskjellige kommandoer, inkludert den videre installasjonen av spionprogrammer,” la firmaet til.
Firsh mener at nulldagssårbarheten bare ble utnyttet av russiske cyberkriminelle, som “alle utvinningssaker som [forskerne] oppdaget i Russland”, og mange gjenstander pekte mot russiske cyberkriminelle.

Den beste måten å beskytte deg mot fra slike angrep er ikke å laste ned eller åpne filer fra ukjente eller usikre kilder.
Sikkerhetsfirmaet anbefalte også brukere å unngå å dele sensitiv personlig informasjon i meldingsapplikasjoner og sørg for å ha en god antivirusprogramvare fra pålitelig selskap installert på systemene dine.