Telegramma del giorno zero, lasciare che gli hacker diffusione backdoor e cryptocurrency-mining malware

0
34

Zero

Una vulnerabilità zero-day nel Telegramma Messenger permesso agli aggressori di diffondere una nuova forma di malware, con capacità che vanno dalla creazione di un trojan backdoor per data mining cryptocurrency.

Gli attacchi di usufruire di un precedentemente sconosciuto vulnerabilità nel Telegramma di un’applicazione Desktop per Windows e sono stati avvistati essere utilizzato in natura da Kaspersky Lab.

I ricercatori ritengono che il russo gruppo di criminali informatici sfruttano la zero-day sono stati gli unici a conoscenza della vulnerabilità e l’hanno usata per distribuire malware dal Marzo 2017, anche se non si sa per quanto tempo la vulnerabilità esisteva prima di quella data.

Gli attacchi sono stati riscontrati anche per rubare Telegramma directory vittime, comprese le informazioni sui loro comunicazioni personali e i file inviati e ricevuti.

Una vulnerabilità nel RLO (da destra a sinistra override) metodo di codifica Unicode permesso agli aggressori di eseguire gli attacchi. Da destra a sinistra metodo di codifica è generalmente utilizzato per la codifica di lingue, scritte in quel modo – come l’arabo e l’ebraico, ma gli aggressori sono stati in grado di sfruttare al fine di modificare il codice.

Utilizzando un nascosto di caratteri Unicode nel nome del file, gli aggressori sono in grado di invertire l’ordine dei caratteri e rinominare il file, camuffando i file dannosi come qualcosa di innocente e di scaricare sul computer delle vittime.

L’estensione del file può essere modificato e utilizzato per ingannare l’utente a scaricare qualcosa di completamente diverso da ciò che pensano, che per la ricezione.

Per esempio, un utente potrebbe essere portato a credere loro di ricevere un .file png, quando il file è in realtà un .js file per l’esecuzione di javascript e di iniettare codice dannoso nel sistema.

La vulnerabilità può essere utilizzato per realizzare una serie di attacchi contro una macchina infetta. Un payload attaccanti distribuire in questo modo può essere utilizzato per prendere il controllo remoto della macchina.

Vedi anche: Cyberwar: Una guida per la spaventosa online di conflitto

In questo esempio, un downloader scritto .NET e utilizzando il Telegramma API, come il protocollo di comando è in grado di lanciare una versione modificata di iniziare la chiave del registro di sistema, permettendo agli hacker di ottenere il controllo completo.

Questo backdoor permette una serie di operazioni dannose, tra cui l’avvio, il download e l’eliminazione di file e l’estrazione della cronologia di navigazione web degli archivi.

I ricercatori di notare che i comandi, che sono attuate in russo — guardare come se essi potrebbero essere utilizzati per far cadere altri malware, come i keylogger sul sistema infetto.

Oltre all’installazione di una backdoor sul sistema, gli aggressori sono anche in grado di adattare il Telegramma di malware per data mining cryptocurrency — compreso Monero, ZCash e Fantomcoin. Non si sa di quanto è stato fatto da schema, ma anche può rivelarsi molto redditizio per i criminali informatici.

In questo caso, il payload dannoso per primo apre un richiamo di file in ordine di addormentare le vittime in un falso senso di sicurezza che nulla di sospetto sta accadendo. Tuttavia, dopo l’installazione, il cryptocurrency minatori correre dietro le quinte.

Se spinto troppo in là, l’operazione di data mining potrebbe surriscaldarsi o altrimenti danneggiare la macchina-il tutto mentre la vittima è sicuro perché i loro fan stanno lavorando duramente.

“Abbiamo trovato diversi scenari di questo zero-day di sfruttamento che, oltre a generali di malware e spyware, è stato utilizzato per fornire software di estrazione — tali infezioni sono diventati una tendenza globale che abbiamo visto durante l’ultimo anno,” ha detto Alexey Firsh, malware analyst di Kaspersky Lab.

I ricercatori non hanno comunicato quando la vulnerabilità è stata scoperta, ma ha detto che dal rivelare a Telegramma, attacchi usando l’exploit non sono state mai visto in natura. ZDNet ha tentato di contattare il Telegramma, ma non avevo ricevuto risposta, al momento della pubblicazione.

Un modo Telegramma gli utenti possono evitare di cadere vittima di questi tipi di attacchi è da non scaricare file non attendibile da fonti sconosciute – e avendo l’accortezza di contatti attendibili improvvisamente il tentativo di condividere i file senza contesto.

hacker-hands-and-code.jpg

Un difetto nel Telegramma di lasciare che gli aggressori di modificare il codice per distribuire malware.

Immagine: iStock

PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA

Spionaggio malware spioni per le password, le miniere di bitcoin sul sideSkygofree malware per Android è ‘uno dei più potenti mai visto’ [TechRepublic]Facebook Messenger utente? Guardare fuori per i messaggi falsi truccate con malwareWhatsApp, Telegramma difetti sinistra account vulnerabili agli hacker [CNET]Ransomware: Perché i truffatori sono ammaraggio bitcoin e dove stanno andando avanti

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0