«Касперский»: ПК можно взломать через Telegram

«Касперский»: ПК можно взломать через Telegram

В Telegram обнаружена уязвимость, через которую хакеры могут взять под контроль устройство жертвы, чтобы прослушивать его или майнить на нем криптовалюты. «Лаборатория Касперского» зафиксировала случаи реальной эксплуатации «дыры». Эксперты компании считают, что хакеры были русскоговорящими.

Специалисты по информационной безопасности из «Лаборатории Касперского» нашли в мессенджере Telegram уязвимость нулевого дня, через которую хакеры распространяли вредоносное ПО.

Речь идет о клиенте Telegram для Windows. Злоумышленники начали эксплуатировать уязвимость в марте 2017 г., «Лаборатория» узнала об этом в октябре.

Компания уже предупредила мессенджер о проблеме, и Telegram закрыл «дыру». Пользователем десктопной версии мессенджера рекомендуется обновиться до версии не ниже 1.2.0.

Все случаи эксплуатации уязвимости, замеченные экспертами, имели место на территории России. Проанализировав некоторые особенности «почерка» хакеров, сотрудники «Лаборатории» пришли к выводу, что преступники были русскоговорящими.

Вредоносное ПО распространялось с помощью атаки, в ходе которой использовался специальный непечатный символ Unicode right-to-left override (RLO), который записывается как U+202E. Этот символ зеркально отражает текст, который за ним следует. RLO используется при обработке арабского языка и иврита, в которых принято писать справа налево.

Если вставить RLO в название файла, оно будет отражаться частично в зеркальном виде, включая расширение, что сделает его неузнаваемым. Таким образом вредоносный файл можно выдать за вполне безопасный. Пользователь не догадается, что это исполняемая программа, и скачает файл под видом, например, изображения.

Чтобы замаскировать название файла, RLO следует вставить в строку следующим образом: evil.js переименовать в photo_high_re*U+202E*gnp.js. Поскольку символы, следующие после RLO, будут зеркально отражены, файл приобретет вместо расширение .js расширение .png, и пользователь примет его за картинку.

Как выяснила «Лаборатория Касперского», злоумышленники придумали несколько способов эксплуатировать уязвимость. Одна из схем предполагала доставку через эту брешь бэкдора на устройство жертвы. Невидимый в скрытом режиме, бэкдор открывал хакерам удаленный доступ к этому устройству через командный протокол Telegram API. Через него можно было загрузить на устройство и другие вредоносные программы — например, шпионские.

Сам загрузчик был написан на .Net. Зараженными устройствами управлял Telegram-бот, который отдавал команды загрузчику на русском языке, что и позволило экспертом «Лаборатории» предположить русскоязычную принадлежность хакеров.

Была и другая схема, где уязвимость использовалась для распространения ПО для добычи криптовалют. Другими словами, хакеры осуществляли майнинг на мощностях компьютера жертвы, указав свой криптовалютный кошелек для хранения полученных монет.

В список добываемых таким образом криптовалют входили Monero, Zcash, Fantomcoin и другие. Zcash добывалось с помощью nheq.exe — Equihash-майнера для NiceHash, способного эксплуатировать ресурсы процессора и графического ускорителя. Для добычи Fantomcoin и Monero использовался майнер taskmgn.exe, который функционирует по алгоритму CryptoNight.

Помимо этого, хакеры качали с устройств пользователей локальный кэш Telegram, сохраняя его в архивы на своих серверах. Кроме рабочих файлов самого мессенджера в этих архивах были найдены личные файлы пользователей, в том числе документы, аудио, видео и фото. Однако все эти материалы были найдены на серверах преступников в зашифрованном виде.

По словам Алексея Фирша, антивирусного эксперта «Лаборатории Касперского», могли быть и другие, «более таргетированные» схемы эксплуатации уязвимости.

Форум стран ЕАЭС, Алма-Ата, январь 2018

Кристоф Штрнадль,технический директор Software AG Центральной и Восточной Европы