Telegram zero-day laat hackers verspreiden achterdeur en cryptocurrency-mijnbouw malware

0
23

Nul

Een zero-day kwetsbaarheid in Telegram Messenger toegestaan aanvallers op het verspreiden van een nieuwe vorm van malware met capaciteiten variërend van het maken van een backdoor trojan mijnbouw cryptocurrency.

De aanvallen profiteren van een voorheen onbekende kwetsbaarheid in het Telegram Desktop-app voor Windows en werden gespot te worden gebruikt in het wild door Kaspersky Lab.

Onderzoekers geloven dat de russische cybercrimineel groep het benutten van de zero-day waren de enigen die zich bewust van de kwetsbaarheid en zijn met behulp van het distribueren van malware sinds Maart 2017-maar het is onbekend hoe lang de kwetsbaarheid had bestaan vóór die datum.

De aanslagen hebben ook gezien te stelen Telegram mappen van slachtoffers, met inbegrip van informatie over hun persoonlijke communicatie en bestanden verzonden en ontvangen.

Een kwetsbaarheid in de RLO (van rechts naar links negeren) Unicode-codering methode toegestaan aanvallers uit te voeren voor de aanslagen. De rechts-naar-links codering methode wordt over het algemeen gebruikt voor het coderen van talen die op die manier – zoals arabisch en hebreeuws – maar de aanvallers waren in staat om als hefboom te gebruiken om de code te wijzigen.

Door het gebruik van een verborgen Unicode-teken in de bestandsnaam, de aanvallers zijn in staat om de volgorde van de tekens en de naam van het bestand, verhullen van de kwaadaardige bestanden als iets onschuldigs en te downloaden naar de computer van de slachtoffers.

De extensie van het bestand kan worden gewijzigd en gebruikt om andere gebruikers te misleiden tot het downloaden van iets compleet anders dan wat ze denken dat ze ontvangen.

Bijvoorbeeld, een gebruiker kan worden geleid te geloven dat hun ontvangen .png-bestand, als het bestand zelf is eigenlijk een .js-bestand voor het uitvoeren van javascript en het inspuiten van kwaadaardige code in het systeem.

De kwetsbaarheid kan worden gebruikt voor het uitvoeren van een verscheidenheid van aanvallen op een geïnfecteerde computer. Een lading aanvallers te verspreiden op deze manier kunnen ook worden gebruikt om op afstand bedienen van de machine.

Zie ook: Cyberwar: Een gids voor de angstaanjagende toekomst van online conflict

In dit geval kan een downloader geschreven .NET en met behulp van het Telegram API als de opdracht protocol is in staat om de lancering van een gewijzigde start de register-sleutel op het systeem, waardoor de aanvallers volledige controle te krijgen.

Deze backdoor zorgt voor een aantal kwaadaardige activiteiten, met inbegrip van de lancering, downloaden en verwijderen van bestanden en het uitpakken van surfen op het web geschiedenis archieven.

De onderzoekers concludeerden dat de commando ‘ s — die zijn geïmplementeerd in het russisch kijken als ze kunnen gebruikt worden voor het laten vallen van aanvullende malware, zoals keyloggers op het besmette systeem.

Naast het installeren van een backdoor op het systeem, de aanvallers zijn ook in staat om op maat van de Telegram malware voor de mijnbouw cryptocurrency — inclusief Monero, ZCash en Fantomcoin. Het is onbekend hoe veel is gemaakt van de regeling, maar het kan blijken zeer lucratief zijn voor cybercriminelen.

In dit geval, de kwaadaardige lading eerst opent een blanco bestand om het te sussen slachtoffers tot een vals gevoel van veiligheid dat er niets verdachts op. Echter, na de installatie, de cryptocurrency mijnwerkers achter de schermen.

Als er geduwd te ver, de mijnbouw kan oververhit raken of anderszins schade aan de machine — terwijl het slachtoffer is niet zeker weet waarom hun fans zijn zo hard werken.

“We hebben verschillende scenario’ s van deze zero-day exploitatie, dat, naast algemene malware en spyware, werd gebruikt te leveren, mining software — infecties zijn uitgegroeid tot een wereldwijde trend die we hebben gezien in het afgelopen jaar,” zegt Alexey Firsh, malware analist van Kaspersky Lab.

De onderzoekers nog niet bekendgemaakt wanneer de kwetsbaarheid werd ontdekt, maar zei dat sinds het bekendmaken van het Telegram, aanvallen met behulp van de exploit nog niet gezien in het wild. ZDNet geprobeerd contact opnemen met het Telegram, maar had geen antwoord gekregen op het moment van publicatie.

Een manier Telegram gebruikers kunnen voorkomen slachtoffer te worden van dit soort aanvallen is door niet te downloaden van onbetrouwbare bestanden van onbekende bronnen – en op hun hoede van vertrouwde contacten plotseling een poging om bestanden te delen zonder context.

hacker-hands-and-code.jpg

Een fout in het Telegram laat aanvallers wijzigen code voor het distribueren van malware.

Beeld: iStock

LEES MEER OVER CYBER CRIME

Spionage malware meekijkers voor wachtwoorden, mijnen bitcoin op de sideSkygofree Android malware is ‘een van de meest krachtige ooit heb gezien’ [TechRepublic]Facebook Messenger-gebruiker? Kijk uit voor valse berichten opgetuigd met malwareWhatsApp, Telegram gebreken links accounts kwetsbaar voor hackers [CNET]Ransomware: Waarom de boeven zijn noodlanding op het water bitcoin en waar ze heen gaan volgende

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0