Kaspersky Lab: Hackerii au folosit o vulnerabilitate zero-day a serviciului de mesagerie Telegram, pentru a raspandi malware multifunctional
Serviciile de mesagerie au devenit o parte esentiala din viata noastra, fiind create pentru a facilita mentinerea legaturii cu prietenii si familia. In acelasi timp, ele pot sa complice semnificativ lucrurile pentru utilizatorii lor, daca devin victimele unui atac cibernetic. De exemplu, luna trecuta Kaspersky Lab a publicat un raport de cercetare despre un malware complex pentru dispozitive mobile, troianul Skygofree, care poate sa sustraga mesaje de pe WhatsApp. Noua cercetare arata ca expertii au reusit sa identifice atacuri care folosesc o vulnerabilitate necunoscuta anterior, din versiunea pentru desktop a unui alt serviciu de mesagerie.
Conform cercetarii, vulnerabilitatea zero-day Telegram se bazeaza pe metoda Unicode RLO („right-to-left override”). Aceasta este folosita, de obicei, pentru codarea limbilor al caror sistem de scriere este de la dreapta la stanga, cum sunt limba araba sau cea ebraica. In plus, insa, poate fi folosita de creatorii de malware ca sa deruteze utilizatorii si sa descarce fisiere malware deghizate in imagini, de exemplu.
Infractorii cibernetici au folosit un caracter Unicode ascuns in numele fisierului, care a inversat ordinea caracterelor, redenumind astfel fisierul. Prin urmare, utilizatorii au descarcat malware ascuns care a fost apoi instalat pe computerele lor. Kaspersky Lab a raportat vulnerabilitatea Telegram si, pana in momentul publicarii, zero-day-ul nu a mai fost observat in produsele serviciului de mesagerie.
Pe parcursul analizei, expertii Kaspersky Lab au identificat mai multe scenarii de exploatare a vulnerabilitatii zero-day de catre atacatori. In primul rand, vulnerabilitatea a fost folosita pentru a livra malware de mining. Prin folosirea puterii de calcul a PC-ului victimei, infractorii cibernetici au creat diferite tipuri de cripto-monede, printre care Monero, Zcash, Fantomcoin si altele. Mai mult, in timpul analizei serverelor unui atacator, cercetatorii Kaspersky Lab au gasit arhive care contineau un cache local Telegram, furat de la victime.
In al doilea rand, in urma exploatarii cu succes a vulnerabilitatii, a fost instalat un backdoor care folosea Telegram API ca protocol de comanda si control, hackerii castigand astfel accesul de la distanta la computerul victimei. Dupa instalare, incepea sa opereze in mod silentios, ceea ce permitea autorului sa ramana ascuns in retea si sa execute diferite comenzi, printre care instalarea unor instrumente de spyware.
Artefactele descoperite in timpul cercetarii indica faptul ca infractorii cibernetici sunt vorbitori de limba rusa. \
„Popularitatea serviciilor de mesagerie instant este incredibil de mare si este foarte important ca dezvoltatorii sa le furnizeze utilizatorilor o protectie adecvata, astfel incat sa nu devina victime ale infractorilor cibernetici”, spune Alexey Firsh, Malware Analyst, Targeted Attacks Research, Kaspersky Lab. „Am gasit cateva scenarii de exploatare a acestei vulnerabilitati zero-day, care, pe langa functii generice de malware si spyware, a fost folosita pentru a livra software de mining - o tendinta globala pe care am vazut-o pe parcursul anului trecut. In plus, credem ca aceasta vulnerabilitate zero-day a fost folosita si in alte moduri.”

VIDEO. A lăsat jobul din City-ul londonez pentru a cumpăra o clădire monumentală părăsită de pe o insulă grecească, pe care a transformat-o în hotel de lux
VIDEO De ce nu pot să aleg tipul de vaccin cu care mă vaccinez?
VIDEO Autostrada A1 Sibiu - Pitești: Cum arată acum lucrările avansate de pe prima secțiune
INTERVIU Răsvan Radu, UniCredit: Au scăzut mult cererile de suspendare la plată a ratelor în ianuarie-februarie 2021 față de 2020
VIDEO REPORTAJ Libearty Sanctuary, cel mai mare sanctuar de urși bruni din Europa/ Care este populația reală de urși? Cât de mare ar trebui să fie ea?
Fascinanta legătură dintre spionaj și tehnologie: de la datele stocate în ADN-ul uman, la falsul turn GSM din aeroport care-ți fură informațiile din telefon
telegram, o alta facatura a kremlinului se pozitioneaza ca un mesenger al carui trafic cica nu poate fi decriptat insa sunt multe dovezi ca acesta spioneaza si trimite date kremlinului: de exemplu recent in Iran au fost proteste si regimul de acolo a cerut kgb-ului sa inchida telegram, ceea ce si a fost facut. i