Вразливість нульового дня в Telegram для Windows
Уразливість у Telegram
Фахівці з інформаційної безпеки з «Лабораторії Касперського» знайшли в месенджері Telegram вразливість нульового дня, через яку хакери розповсюджували шкідливе програмне забезпечення. Йдеться про клієнта Telegram для Windows. Зловмисники почали експлуатувати вразливість у березні 2017 р., «Лабораторія» дізналася про це у жовтні.
Компанія вже попередила месенджер про проблему, і Telegram закрив «дірку». Користувачем десктопної версії месенджера рекомендується оновитись до версії не нижче 1.2.0.
Всі випадки експлуатації вразливості, помічені експертами, що мали місце на території Росії. Проаналізувавши деякі особливості почерку хакерів, співробітники Лабораторії дійшли висновку, що злочинці були російськомовними.
Символ RLO
Шкідливе програмне забезпечення розповсюджувалося за допомогою атаки, в ході якої використовувався спеціальний недрукований символ Unicode right-to-left override (RLO), який записується як U+202E. Цей символ дзеркально відображає текст, який за ним слідує. RLO використовується при обробці арабської мови та івриту, в яких прийнято писати праворуч наліво.
Якщо вставити RLO в назву файлу, воно буде відображатися частково у дзеркальному вигляді, включаючи розширення, що зробить його невпізнанним. Таким чином, шкідливий файл можна видати за цілком безпечний. Користувач не здогадається, що це програма, що виконується, і скачає файл під виглядом, наприклад, зображення.
Щоб замаскувати назву файлу, RLO слід вставити в рядок так: evil.js перейменувати на photo_high_re*U+202E*gnp.js. Оскільки символи, наступні після RLO, будуть віддзеркалені, файл придбає замість розширення .js розширення .png, і користувач прийме його за картинку.
Контроль над пристроями
Як з'ясувала «Лабораторія Касперського», зловмисники вигадали кілька способів експлуатувати вразливість. Одна із схем передбачала доставку через цей пролом бекдора на влаштування жертви. Невидимий у прихованому режимі бекдор відкривав хакерам віддалений доступ до цього пристрою через командний протокол Telegram API. Через нього можна було завантажити на пристрій та інші шкідливі програми, наприклад, шпигунські.
Сам завантажувач був написаний на .Net.
Видобуток криптовалют
Була і інша схема, де вразливість використовувалася поширення ПО для видобутку криптовалют. Іншими словами, хакери здійснювали майнінг на потужностях комп'ютера жертви, вказавши свій криптовалютний гаманець для зберігання монет.
До списку видобутих таким чином криптовалют входили Monero, Zcash, Fantomcoin та інші. Zcash добувалося за допомогою nheq.exe - Equihash-майнера для NiceHash, здатного експлуатувати ресурси процесора та графічного прискорювача. Для видобутку Fantomcoin та Monero використовувався майнер taskmgn.exe, який функціонує за алгоритмом CryptoNight.
Окрім цього, хакери качали з пристроїв користувачів локальний кеш Telegram, зберігаючи його до архівів на своїх серверах. Окрім робочих файлів самого месенджера у цих архівах було знайдено особисті файли користувачів, у тому числі документи, аудіо, відео та фото. Однак усі ці матеріали були знайдені на серверах злочинців у зашифрованому вигляді.
