Эксперты обнаружили возможность для кибератак на мессенджер Telegram для Windows. Уязвимость позволяет устанавливать вредоносные программы и майнить криптовалюту, используя вычислительные возможности пораженного компьютера
«Лаборатория Касперского» обнаружила уязвимость нулевого дня в мессенджере Telegram, которая использовалась хакерами для заражения пользователей версии приложения для Windows и распространения ПО для майнинга. Об этом говорится в сообщении компании, поступившем в редакцию.
«По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта», — утверждают специалисты. Все случаи эксплуатации уязвимости ПО были зафиксированы в России.
Хакеры использовали так называемую атаку right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков и используется в текстах, воспроизводимых справа налево, например на арабском или иврите. В таблице Unicode символ представлен кодом ‘U+202E’.
Хакеры использользовали RLO, чтобы поменять порядок символов в названии файла и его расширение. Таким образом жертвы атаки скачивали из мессенджера вредоносное или шпионское ПО с измененным расширением, считая, что загружают изображения, аудиозаписи или видео. И сами же запускали его, даже не подозревая, что это исполняемый файл окажется вирусным. В качестве командного протокола ПО использовало Telegram API.
По словам антивирусного эксперта «Лаборатории Касперского» Алексея Фирша, разработчики антивирусного обеспечения нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, «ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Используя вычислительные возможности пораженного компьютера, преступники добывали такие монеты как Monero, Zcash, Fantomcoin и другие.
Случай с Телеграм не первый в истории майнинговых кибератак. 11 февраля основатель сайта securityheaders.io и исследователь в области кибербезопасности Скот Хельм опубликовал расследование, согласно которому более четырех тысяч правительственных сайтов США и Великобритании оказались заражены скриптами, позволяющими использовать оборудование в целях майнинга криптовалюты Monero.