Telegram zero-day-låt hackare sprida bakdörr och cryptocurrency-utvinning av malware

0
33

Noll

En noll-dag sårbarhet i Telegram Budbärare gjort det möjligt för angripare att sprida en ny form av skadlig kod med förmågor som sträcker sig från att skapa en bakdörr trojan gruvdrift cryptocurrency.

Attackerna dra nytta av en tidigare okänd sårbarhet i Telegram Desktop app för Windows och sågs som används i det vilda av Kaspersky Lab.

Forskare tror att den ryska cybercriminal grupp som utnyttjar zero-day var de enda som var medvetna om sårbarheten och har använt den för att sprida skadlig kod sedan Mars 2017-även om det är okänt hur länge den sårbarhet hade funnits före detta datum.

Attackerna har också sett att stjäla Telegram kataloger från offren, inklusive information om deras personliga meddelanden och filer som skickas och tas emot.

En sårbarhet i RLO (höger-till-vänster-override) Unicode-kodning metod som gjort det möjligt för angripare att utföra attacker. Höger-till-vänster-kodning metod är i allmänhet används för kodning språk som skrivs på det sättet – som arabiska och hebreiska, men angripare skulle kunna utnyttja den för att ändra kod.

Med hjälp av en dold Unicode-tecken i filnamn, angripare kan vända på ordningen av de tecken och byt namn på filen, dölja skadliga filer som något oskyldigt och ladda ner det på datorn offer.

Den file extension kan ändras och användas för att lura användaren till att ladda ner något helt annat än vad de tror att de får.

Till exempel, en användare kan ledas till att tro att deras emot en .png-filer när filen i sig är faktiskt en .js-filen för att köra javascript och injicera skadlig kod i systemet.

Sårbarheten kan användas för att utföra olika attacker mot en infekterad dator. En nyttolast angripare distribuera på detta sätt kan användas för att fjärrstyra av maskinen.

Se även: Cyberkrig: En guide till den skrämmande framtiden för online-konflikten

I detta fall, en downloader skriven på .NÄTET och med hjälp av Telegram API som kommandot protokollet är att kunna lansera en modifierad börja registernyckel på systemet tillåter angripare att få full kontroll.

Denna bakdörr tillåter för ett antal av skadlig verksamhet, inklusive att sätta igång, ladda ner och ta bort filer och utvinna surfa historia arkiv.

Forskarna notera att de kommandon som — som genomförs i ryska — se ut som om de skulle kunna användas för att släppa ytterligare skadlig kod, såsom keyloggers på den infekterade systemet.

Förutom att installera en bakdörr på systemet, angripare har även möjlighet att skräddarsy Telegram skadlig kod för gruvdrift cryptocurrency — inklusive Monero, ZCash och Fantomcoin. Det är okänt hur mycket har gjorts från systemet, men det kan vara mycket lukrativ att cyberbrottslingar.

I detta exempel, den skadliga koden först öppnar ett lockbete för att lura offer till en falsk känsla av säkerhet att något misstänkt pågår. Dock, efter installationen, cryptocurrency gruvarbetare köra bakom kulisserna.

Om trycks in för långt, gruvdriften kan överhettas eller på annat sätt skada maskinen-allt medan offret är osäker på varför deras fans arbetar så hårt för.

“Vi har hittat flera scenarier av detta zero-day exploatering som, förutom allmän skadlig kod och spionprogram används för att leverera mining programvara — sådana infektioner har blivit en global trend som vi har sett under hela förra året, säger Alexey Firsh, malware analytiker på Kaspersky Lab.

Forskare har inte avslöjat när den sårbarhet upptäcktes men sade att sedan lämna ut den till Telegram, attacker med utnyttja inte har sett i det vilda. ZDNet har försökt att kontakta Telegram, men inte fått svar vid tidpunkten för publicering.

Ett sätt Telegram användare kan undvika att falla offer för dessa typer av attacker är att inte ladda ner opålitliga filer från okända källor – och att vara försiktig med betrodda kontakter plötsligt försöker att dela filer utan sammanhang.

hacker-hands-and-code.jpg

En brist i Telegram låt angripare ändra kod för att sprida skadlig kod.

Bild: iStock

LÄS MER OM IT-RELATERAD BROTTSLIGHET

Spionage malware snoops för lösenord, gruvor bitcoin på sideSkygofree Android-malware är “en av de mest kraftfulla någonsin sett” [TechRepublic]Facebook Messenger-användare? Se upp för falska meddelanden är försedda med malwareWhatsApp, Telegram brister vänster konton sårbara för hackare [MAG]Ransomware: Varför skurkarna är dikning bitcoin och vart de är på väg nästa

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0