Специалисты «Лаборатории Касперского» обнаружили случаи использования уязвимости в приложении Telegram для Windows.
Согласно данным экспертов, брешь эксплуатировалась как минимум с марта 2017 года. «Лаборатория Касперского» уведомила разработчиков Telegram о проблеме, и на сегодняшний день она уже устранена.
Уязвимость заключалась в использовании так называемой атаки right-to-left override (RLO). RLO меняет порядок символов в названии файла, а значит, и его расширение. В итоге жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл.
Эксперты определили три цели использования бреши злоумышленниками:
- Доставка бэкдора. В результате хакеры получали удалённый доступ к компьютеру жертвы, включая дальнейшую установку шпионского ПО.
- Распространение ПО для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали такие криптовалюты, как Monero, Zcash, Fantomcoin и другие.
- На серверах злоумышленников также были обнаружены архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Помимо служебных файлов, он содержал различные материалы пользователя, использованные в переписке: документы, аудио- и видеозаписи, фотографии.
«Популярность мессенджеров сегодня невероятно высока. Поэтому разработчикам очень важно обеспечивать надежную защиту пользователей, чтобы те не стали легкой мишенью для преступников. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», - отметил Алексей Фирш, антивирусный эксперт «Лаборатории Касперского».
Стоит отметить, что все случаи эксплуатации уязвимости были зафиксированы в России, и пользовались ею только русскоязычные хакеры.
