Przestępcy stosowali lukę dnia zerowego w komunikatorze Telegram
Komunikatory internetowe, stworzone po to, aby znacznie ułatwić użytkownikom utrzymanie kontaktu z przyjaciółmi i rodziną, od dawna stanowią istotny element życia online. Z drugiej strony, jeśli padną ofiarą cyberataku, mogą spowodować znaczące komplikacje. Problem ten opisuje m.in. raport badawczy opublikowany w zeszłym miesiącu przez Kaspersky Lab, w którym mowa o zaawansowanym trojanie Skygofree potrafiącym kraść wiadomości przesyłane za pośrednictwem komunikatora WhatsApp. Z kolei z najnowszego badania wynika, że eksperci zdołali zidentyfikować ataki wykorzystujące nową, nieznaną wcześniej lukę w zabezpieczeniach wersji innego popularnego komunikatora internetowego przeznaczonej dla komputerów.
Według badania luka dnia zerowego w aplikacji Telegram była oparta na funkcji stosowanej do kodowania języków, w których zapis jest przeprowadzany od prawej strony do lewej, np. arabski czy hebrajski. Niestety funkcja ta może być również wykorzystana przez twórców szkodliwego oprogramowania, aby podstępnie nakłonić użytkowników do pobrania szkodliwych plików, zamaskowanych na przykład pod postacią obrazków.
Atakujący wykorzystali ukryty symbol w nazwie pliku, który odwracał kierunek znaków, zmieniając tym samym nazwę samego pliku. W efekcie użytkownicy pobierali ukryte szkodliwe oprogramowanie, które było następnie instalowane na ich komputerach. Kaspersky Lab zgłosił omawianą lukę twórcom aplikacji Telegram. Od tego czasu nie została zaobserwowana w komunikatorze.
Podczas swojej analizy eksperci z Kaspersky Lab zidentyfikowali kilka scenariuszy wykorzystania luki dnia zerowego przez cyberprzestępców. Po pierwsze, luka była stosowana w celu dostarczania oprogramowania służącego do kopania kryptowaluty, co może spowodować znaczące szkody. Wykorzystując moc obliczeniową komputerów ofiar, cyberprzestępcy generowali różne rodzaje kryptowaluty - między innymi Monero, Zcash oraz Fantomcoin. Co więcej, analizując serwery cyberprzestępcze, badacze z Kaspersky Lab znaleźli archiwa zawierające lokalną pamięć podręczną aplikacji Telegram, która została skradziona ofiarom.
Po drugie, po skutecznym wykorzystaniu luki następowała instalacja backdoora, który wykorzystywał interfejs programowania (tzw. API) komunikatora Telegram jako protokół kontroli, umożliwiając cyberprzestępcom uzyskanie zdalnego dostępu do komputera ofiary. Następnie szkodnik działał w trybie dyskretnym, dzięki czemu atakujący mogli pozostawać niezauważeni w sieci, wykonując różne polecenia, łącznie z dalszym instalowaniem narzędzi szpiegujących.
Wykryte podczas badania ślady językowe w szkodliwym kodzie wskazują na rosyjskie pochodzenie cyberprzestępców.
Wobec ogromnej popularności komunikatorów internetowych niezwykle istotna staje się właściwa ochrona użytkowników zapewniana przez ich twórców, dzięki czemu nie staną się oni łatwym celem przestępców. Zidentyfikowaliśmy kilka scenariuszy wykorzystywania tej luki dnia zerowego, która, oprócz ogólnego szkodliwego oprogramowania i narzędzi szpiegujących, była wykorzystywana w celu dostarczania koparek kryptowalut - tego rodzaju infekcje stały się globalnym trendem, który obserwowaliśmy przez cały ostatni rok - powiedział Alex Firsh, analityk szkodliwego oprogramowania, Kaspersky Lab.
