Выпуск: RU

Вход

Войти с помощью социальной сети:

Новость добавлена
4013.02.2018 11:06
< >
«Лаборатория Касперского» сообщила об уязвимости в Telegram
«Лаборатория Касперского» сообщила об уязвимости в Telegram

Хакеры использовали уязвимость в Telegram для Windows, чтобы майнить криптовалюты и для установки шпионского софта, выяснила «Лаборатория Касперского». На серверах злоумышленников были обнаружены материалы из переписки пользователей. Жертвами атаки на Telegram в Windows могли стать до 1 тыс. человек.

Предположительно русскоязычные хакеры использовали уязвимость в Telegram для Windows, чтобы заражать ПК пользователей мессенджера. Это обнаружила «Лаборатория Касперского». Злоумышленники использовали брешь как минимум с марта 2017 года. О проблеме уведомили разработчиков мессенджера, уязвимость уже закрыта.

Злоумышленники преследовали несколько целей, полагают эксперты. Во-первых они устанавливали шпионское ПО, для этого киберпреступники использовали уязвимость для доставки бэкдора. После установки он работал, ничем не обнаруживая себя. В результате хакеры получали удаленный доступ к компьютеру жертвы: бэкдор выполнял различные команды злоумышленников, в том числе установку шпионского ПО. Во-вторых уязвимость эксплуатировалась для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали такие криптовалюты, как Monero, Zcash, Fantomcoin и другие. Кроме того, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них помимо прочего содержал в зашифрованном виде различные материалы пользователя из переписки: документы, аудио- и видеозаписи, фотографии.

Обнаруженные артефакты позволяют предположить русскоязычное происхождение преступников. Так, некоторые строчки во вредоносном коде были на русском языке, а в «засветившихся» email-адресах злоумышленников фигурировали русские слова и имена, пояснил “Ъ” антивирусный эксперт «Лаборатории Касперского» Алексей Фирш. Жертвами, по его словам, могли стать до 1 тыс. пользователей. «Мы исследовали только случай с клиентом для Windows. Не исключено, что другие платформы были подвержены уязвимости»,— уточняет он. Речь идет только о клиенте для ПК. Все случаи эксплуатации уязвимости были зафиксированы в России.

Уязвимость заключалась в использовании атаки RLO (right-to-left override) — это непечатный символ кодировки Unicode, зеркально отражающий направление знаков.

Обычно его применяют при работе с языками, в которых текст идет справа налево, например, с арабским или ивритом. Однако злоумышленники могут использовать RLO по-другому: он меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения, и сами запускали его, не подозревая, что это исполняемый файл, резюмировали в «Лаборатории Касперского».

Кристина Жукова

Комментарии (0)
Поделиться в социальных сетях:


Новости по теме
100