Telegram, exploatată de hackeri ca să mineze criptomonede

Telegram, exploatată de hackeri ca să mineze criptomonede
Răzvan Băltărețu
13:32 14.02.2018

Telegram e o aplicație de chat sigură, cel puțin când vrei să porți o conversație privată. N-a fost însă excelent securizată în fața hackerilor.

Cercetători Kaspersky Lab au descoperit atacuri realizate cu un nou tip de malware. Acesta folosește o vulnerabilitate de tip zero-day din aplicația Telegram pentru desktop. A fost folosită ca să livreze malware multifuncțional, care, în funcție de computer, poate fi utilizat ca backdoor sau ca o modalitate de a introduce software de minare pentru monede virtuale.

Conform cercetării, vulnerabilitatea a fost exploatată activ din martie 2017 pentru minare diverse monede virtuale, printre care Monero și Zcash.

Vulnerabilitatea zero-day Telegram se bazează pe metoda Unicode RLO („right-to-left override”). Aceasta este folosită, de obicei, pentru codarea limbilor al căror sistem de scriere este de la dreapta la stânga, cum sunt limba arabă sau cea ebraică. În plus, însă, poate fi folosită de creatorii de malware ca să deruteze utilizatorii și să descarce fișiere malware deghizate în imagini, de exemplu.

Infractorii cibernetici au folosit un caracter Unicode ascuns în numele fișierului, care a inversat ordinea caracterelor, redenumind astfel fișierul. Prin urmare, utilizatorii au descărcat malware ascuns care a fost apoi instalat pe computerele lor.

telegram vulnerability

Pe parcursul analizei, experții Kaspersky Lab au identificat mai multe scenarii de exploatare  a vulnerabilității zero-day de către atacatori. În primul rând, vulnerabilitatea a fost folosită pentru a livra malware de mining. Prin folosirea puterii de calcul a PC-ului victimei, infractorii cibernetici au creat diferite tipuri de cripto-monede, printre care Monero, Zcash, Fantomcoin și altele. Mai mult, în timpul analizei serverelor unui atacator, cercetătorii Kaspersky Lab au găsit arhive care conțineau un cache local Telegram, furat de la victime.

În al doilea rând, în urma exploatării cu succes a vulnerabilității, a fost instalat un backdoor care folosea Telegram API ca protocol de comandă și control, hackerii câștigând astfel accesul de la distanță la computerul victimei. După instalare, începea să opereze în mod silențios, ceea ce permitea autorului să rămână ascuns în rețea și să execute diferite comenzi, printre care instalarea unor instrumente de spyware.

Artefactele descoperite în timpul cercetării arată că infractorii cibernetici sunt vorbitori de limbă rusă.

Etichete:
loading...