Спецпроекты

Безопасность Маркет

«Касперский»: ПК можно взломать через Telegram

В Telegram обнаружена уязвимость, через которую хакеры могут взять под контроль устройство жертвы, чтобы прослушивать его или майнить на нем криптовалюты. «Лаборатория Касперского» зафиксировала случаи реальной эксплуатации «дыры». Эксперты компании считают, что хакеры были русскоговорящими.

Уязвимость в Telegram

Специалисты по информационной безопасности из «Лаборатории Касперского» нашли в мессенджере Telegram уязвимость нулевого дня, через которую хакеры распространяли вредоносное ПО. Речь идет о клиенте Telegram для Windows. Злоумышленники начали эксплуатировать уязвимость в марте 2017 г., «Лаборатория» узнала об этом в октябре.

Компания уже предупредила мессенджер о проблеме, и Telegram закрыл «дыру». Пользователем десктопной версии мессенджера рекомендуется обновиться до версии не ниже 1.2.0.

Все случаи эксплуатации уязвимости, замеченные экспертами, имели место на территории России. Проанализировав некоторые особенности «почерка» хакеров, сотрудники «Лаборатории» пришли к выводу, что преступники были русскоговорящими.

Символ RLO

Вредоносное ПО распространялось с помощью атаки, в ходе которой использовался специальный непечатный символ Unicode right-to-left override (RLO), который записывается как U+202E. Этот символ зеркально отражает текст, который за ним следует. RLO используется при обработке арабского языка и иврита, в которых принято писать справа налево.

Если вставить RLO в название файла, оно будет отражаться частично в зеркальном виде, включая расширение, что сделает его неузнаваемым. Таким образом вредоносный файл можно выдать за вполне безопасный. Пользователь не догадается, что это исполняемая программа, и скачает файл под видом, например, изображения.

Неизвестные хакеры использовали мессенджер Telegram для прослушки пользователей и добычи криптовалют

Чтобы замаскировать название файла, RLO следует вставить в строку следующим образом: evil.js переименовать в photo_high_re*U+202E*gnp.js. Поскольку символы, следующие после RLO, будут зеркально отражены, файл приобретет вместо расширение .js расширение .png, и пользователь примет его за картинку.

Контроль над устройствами

Как выяснила «Лаборатория Касперского», злоумышленники придумали несколько способов эксплуатировать уязвимость. Одна из схем предполагала доставку через эту брешь бэкдора на устройство жертвы. Невидимый в скрытом режиме, бэкдор открывал хакерам удаленный доступ к этому устройству через командный протокол Telegram API. Через него можно было загрузить на устройство и другие вредоносные программы — например, шпионские.

Сам загрузчик был написан на .Net. Зараженными устройствами управлял Telegram-бот, который отдавал команды загрузчику на русском языке, что и позволило экспертом «Лаборатории» предположить русскоязычную принадлежность хакеров.

Добыча криптовалют

Была и другая схема, где уязвимость использовалась для распространения ПО для добычи криптовалют. Другими словами, хакеры осуществляли майнинг на мощностях компьютера жертвы, указав свой криптовалютный кошелек для хранения полученных монет.

В список добываемых таким образом криптовалют входили Monero, Zcash, Fantomcoin и другие. Zcash добывалось с помощью nheq.exe — Equihash-майнера для NiceHash, способного эксплуатировать ресурсы процессора и графического ускорителя. Для добычи Fantomcoin и Monero использовался майнер taskmgn.exe, который функционирует по алгоритму CryptoNight.

Помимо этого, хакеры качали с устройств пользователей локальный кэш Telegram, сохраняя его в архивы на своих серверах. Кроме рабочих файлов самого мессенджера в этих архивах были найдены личные файлы пользователей, в том числе документы, аудио, видео и фото. Однако все эти материалы были найдены на серверах преступников в зашифрованном виде.

По словам Алексея Фирша, антивирусного эксперта «Лаборатории Касперского», могли быть и другие, «более таргетированные» схемы эксплуатации уязвимости.

Ответ Павла Дурова

Основатель Telegram Павел Дуров прокомментировал в своем Telegram-канале открытие «Лаборатории Касперского». По его словам, антивирусные компании обычно склонны преувеличивать опасность в своих отчетах, чтобы привлечь внимание СМИ.

Дуров отметил со ссылкой на канал Telegram Geeks, что перед загрузкой вредоносного файла, пускай и замаскированного под безопасный, система запрашивает согласие пользователя. Если согласие не будет дано, устройство останется в безопасности. Фактически, считает Telegram Geeks, это была не уязвимость в самом мессенджере, а вредоносная рассылка, организованная с его помощью.

Валерия Шмырова

Короткая ссылка