Specjaliści z Kaspersky Lab wykryli w desktopowej wersji komunikatora Telegram lukę dnia zerowego, która była wykorzystywana przez cyberprzestępców do infekowania komputerów.
Dziura była oparta na funkcji stosowanej do kodowania języków, w których zapis jest przeprowadzany od prawej do lewej strony (arabski, hebrajski). W ten sposób cyberprzestępcy mogli nakłonić użytkowników do pobrania szkodliwych plików, zamaskowanych np. pod postacią obrazka.
Atakujący wykorzystywali ukryty symbol w nazwie pliku, który odwracał kierunek znaków, zmieniając tym samym nazwę samego pliku. Dzięki temu pobierano złośliwe oprogramowanie, które następnie infekowało komputer.
Luka została już zgłoszona do twórców oprogramowania. Badacze od tego momentu nie zaobserwowali jej w komunikatorze, można zatem sądzić, że została załatana.
Kopanie kryptowalut
Specjaliści wskazują, ze luka była wykorzystywana przez cyberprzestępców przynajmniej od marca 2017 roku. W jednym z wariantów atakujący instalowali skrypty kopiące kryptowalutę. W ten sposób wydobywano między innymi Monero, Zcash czy Fantomcoin.
Analiza wykazała też kradzież pamięci podręcznej komunikatora Telegram, która przechowywana była na serwerach cyberprzestępców.
Skuteczne wykorzystanie luki mogło również skutkować instalacją backdoora, który umożliwiał zdalny dostęp do komputera ofiary. Szkodnik działał dyskretnie, dlatego też atakujący pozostawali nieuchwytni, mogąc instalować kolejne aplikacje szpiegujące.
Ślady językowe wykryte podczas badania wskazują, że cyberprzestępcy wykorzystujący opisywaną lukę byli pochodzenia rosyjskiego.
Źródło: Kaspersky Lab