Telegram zero-day lad hackere sprede bagdør og cryptocurrency-mining malware

0
33

Nul

En zero-day-sårbarhed i Telegram Messenger gjorde det muligt for angribere at sprede en ny form for malware med evner, der spænder fra at skabe en backdoor trojan minedrift cryptocurrency.

De angreb, der udnytter en hidtil ukendt sårbarhed i det Telegram, Desktop-app ‘ en til Windows og blev spottet bliver brugt i naturen af Kaspersky Lab.

Forskere mener, at den russiske cyberkriminelle gruppe udnytter zero-day var de eneste klar over, hvor sårbare og har brugt det til at distribuere malware siden Marts 2017 — selv om det er uvist, hvor længe den sårbarhed, som havde eksisteret før denne dato.

Angreb er også blevet set at stjæle Telegram mapper fra ofre, herunder oplysninger om deres personlige kommunikation og filer, der er sendt og modtaget.

En sårbarhed i RLO (højre-til-venstre tilsidesætter) Unicode-kodning metode gjorde det muligt for angribere at udføre angreb. Højre-til-venstre-kodning metode der almindeligvis anvendes til kodning sprog skrevet på denne måde – så som arabisk og hebraisk – men angriberne var i stand til at udnytte det, for at ændre koden.

Ved hjælp af en skjult Unicode-tegn i filnavnet, hackere er i stand til at bytte om på rækkefølgen af tegn og omdøbe den fil, idet de ondsindede filer som noget, uskyldig og hente det på computeren af ofre.

File extension kan ændres og bruges til at narre brugeren til at downloade noget helt andet til, hvad de tror, de er modtaget.

For eksempel, at en bruger kunne forledes til at tro, at deres modtagelse .png-fil, når filen i sig selv er faktisk en .js-fil til at køre javascript og intravenøs skadelig kode ind i systemet.

Sårbarheden kan bruges til at udføre en række af angreb mod en inficeret maskine. En nyttelast angribere distribuere på denne måde kan bruges til at tage fjernbetjeningen af maskinen.

Se også: Cyberkrig: En guide til den skræmmende fremtidige online konflikt

I dette tilfælde, en downloadet skrevet i .NETTET og ved hjælp af det Telegram, API som kommando-protokollen er i stand til at lancere en modificeret start nøgle i registreringsdatabasen på systemet, så det angriberne at få fuld kontrol.

Denne bagdør giver mulighed for en række ondsindede aktiviteter, herunder lanceringen, downloade og slette filer og udtrække web browsing historie arkiver.

Forskere bemærk, at-kommandoer — som er gennemført i russisk — se ud, som om de kunne bruges til at droppe yderligere malware, som keyloggers på det inficerede system.

Ud over at installere en bagdør på systemet, angriberne er også i stand til at skræddersy Telegram malware for minedrift cryptocurrency — herunder Monero, ZCash og Fantomcoin. Det er uvist, hvor meget har været fremstillet af ordningen, men det kan vise sig at være yderst indbringende, at it-kriminelle.

I dette tilfælde, det ondsindet payload første åbner en lokkedue-fil med henblik på at lulle ofre ind i en falsk følelse af sikkerhed, at intet mistænkeligt foregår på. Men efter installation, cryptocurrency minearbejdere kører bag kulisserne.

Hvis skubbet for langt, og minedriften kunne overophede eller beskadige maskinen — alle, mens offeret er usikker, hvorfor deres fans er at arbejde så hårdt.

“Vi har fundet flere scenarier af denne zero-day udnyttelse, der, ud over den generelle malware og spyware, der blev brugt til at levere mining software — sådanne infektioner er blevet en global trend, som vi har set gennem de sidste år,” siger Alexey Firsh, malware, analytiker hos Kaspersky Lab.

Forskere har ikke offentliggjort, når sårbarheden blev opdaget, men sagde, at da afsløre at det Telegram, angreb med den udnyttelse, der ikke har været set i naturen. ZDNet har forsøgt at kontakte Telegram, men ikke havde modtaget et svar på tidspunktet for offentliggørelsen.

En måde Telegram-brugere kan undgå at blive ofre for disse typer af angreb er ved at ikke at hente tillid til filer fra ukendte kilder, og være på vagt over for betroede kontakter pludselig forsøger at dele filer uden sammenhæng.

hacker-hands-and-code.jpg

En fejl i Telegrammet lad angribere, ændre kode for at distribuere malware.

Billede: iStock

LÆS MERE OM IT-KRIMINALITET

Spionage malware snoops for adgangskoder, bitcoin miner på sideSkygofree Android malware er en af de mest magtfulde nogensinde har set’ [TechRepublic]Facebook Messenger-bruger? Pas på falske beskeder, rigget med malwareWhatsApp, Telegram mangler venstre konti sårbare over for hackere [CNET]Ransomware: Hvorfor skurke er nødlanding på vandet bitcoin, og hvor de kommer næste

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

0