Kaspersky Lab: Hackerii au folosit o vulnerabilitate zero-day a serviciului de mesagerie Telegram, pentru a raspandi malware multifunctional

de Vlad Barza     HotNews.ro
Marţi, 13 februarie 2018, 12:39 Economie | IT


Vulnerabilitatea Telegram
Foto: Kaspersky
Cercetatorii Kaspersky Lab au descoperit atacuri realizate cu un nou tip de malware, care foloseste o vulnerabilitate de tip zero-day din aplicatia Telegram pentru desktop. Vulnerabilitatea a fost folosita pentru a livra malware multifunctional, care, in functie de computer, poate fi utilizat ca backdoor sau ca o modalitate de a introduce software de mining. Conform cercetarii, vulnerabilitatea a fost exploatata activ din luna martie 2017 pentru functionalitatea de mining de cripto-monede, printre care Monero si Zcash.

Serviciile de mesagerie au devenit o parte esentiala din viata noastra, fiind create pentru a  facilita mentinerea legaturii cu prietenii si familia. In acelasi timp, ele pot sa complice semnificativ lucrurile pentru utilizatorii lor, daca devin victimele unui atac cibernetic. De exemplu, luna trecuta Kaspersky Lab a publicat un raport de cercetare despre un malware complex pentru dispozitive mobile, troianul Skygofree, care poate sa sustraga mesaje de pe WhatsApp. Noua cercetare arata ca expertii au reusit sa identifice atacuri care folosesc o vulnerabilitate necunoscuta anterior, din versiunea pentru desktop a unui alt serviciu de mesagerie.

Conform cercetarii, vulnerabilitatea zero-day Telegram se bazeaza pe metoda Unicode RLO („right-to-left override”). Aceasta este folosita, de obicei, pentru codarea limbilor al caror sistem de scriere este de la dreapta la stanga, cum sunt limba araba sau cea ebraica. In plus, insa, poate fi folosita de creatorii de malware ca sa deruteze utilizatorii si sa descarce fisiere malware deghizate in imagini, de exemplu. 

Infractorii cibernetici au folosit un caracter Unicode ascuns in numele fisierului, care a inversat ordinea caracterelor, redenumind astfel fisierul. Prin urmare, utilizatorii au descarcat malware ascuns care a fost apoi instalat pe computerele lor. Kaspersky Lab a raportat vulnerabilitatea Telegram si, pana in momentul publicarii, zero-day-ul nu a mai fost observat in produsele serviciului de mesagerie.

Pe parcursul analizei, expertii Kaspersky Lab  au identificat mai multe scenarii de exploatare  a vulnerabilitatii zero-day de catre atacatori. In primul rand, vulnerabilitatea a fost folosita pentru a livra malware de mining. Prin folosirea puterii de calcul a PC-ului victimei, infractorii cibernetici au creat diferite tipuri de cripto-monede, printre care Monero, Zcash, Fantomcoin si altele. Mai mult, in timpul analizei serverelor unui atacator, cercetatorii Kaspersky Lab au gasit arhive care contineau un cache local Telegram, furat de la victime.

In al doilea rand, in urma exploatarii cu succes a vulnerabilitatii, a fost instalat un backdoor care folosea Telegram API ca protocol de comanda si control, hackerii castigand astfel accesul de la distanta la computerul victimei. Dupa instalare, incepea sa opereze in mod silentios, ceea ce permitea autorului sa ramana ascuns in retea si sa execute diferite comenzi, printre care instalarea unor instrumente de spyware.

Artefactele descoperite in timpul cercetarii indica faptul ca infractorii cibernetici sunt vorbitori de limba rusa. \

„Popularitatea serviciilor de mesagerie instant este incredibil de mare si este foarte important ca dezvoltatorii sa le furnizeze utilizatorilor o protectie adecvata, astfel incat sa nu devina victime ale infractorilor cibernetici”, spune Alexey Firsh, Malware Analyst, Targeted Attacks Research, Kaspersky Lab. „Am gasit cateva scenarii de exploatare a acestei vulnerabilitati zero-day, care, pe langa functii generice de malware si spyware, a fost folosita pentru a livra software de mining - o tendinta globala pe care am vazut-o pe parcursul anului trecut. In plus, credem ca aceasta vulnerabilitate zero-day a fost folosita si in alte moduri.”


Citeste mai multe despre   










1098 vizualizari

  • +1 (1 vot)    
    hotul striga hotul (Marţi, 13 februarie 2018, 13:33)

    Ingwar [utilizator]

    serviciile de inteligenta americane si din Israel au demonstrat ca kaspersky si telegram sunt 2 programe spion folosite de catre KGB, insasi asa zisul "fondator" al kaspersky lucreaza in kgb. acuma kaspersky cauta solutii sa se spele, sa se inalbeasca si iaca ca un pas este simularea luptei cu hackerii ce losesc programul spion telegram si whatsup, apropo antivirusul spion kaspersky nu se mai vinde in SUA deoarece a fost introdus in lista neagra.
    telegram, o alta facatura a kremlinului se pozitioneaza ca un mesenger al carui trafic cica nu poate fi decriptat insa sunt multe dovezi ca acesta spioneaza si trimite date kremlinului: de exemplu recent in Iran au fost proteste si regimul de acolo a cerut kgb-ului sa inchida telegram, ceea ce si a fost facut. i


Abonare la comentarii cu RSS

ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version