Фото Alexander Zemlianichenko Jr. / Bloomberg via Getty Images
Эксперты обнаружили возможность для кибератак на мессенджер Telegram для Windows. Уязвимость позволяет устанавливать вредоносные программы и майнить криптовалюту, используя вычислительные возможности пораженного компьютера
«Лаборатория Касперского» обнаружила уязвимость нулевого дня в мессенджере Telegram, которая использовалась хакерами для заражения приложения для Windows и распространения ПО для майнинга. Об этом говорится в сообщении компании, поступившем в редакцию.
«По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта», — утверждают специалисты. Все случаи эксплуатации уязвимости ПО были зафиксированы в России.
Хакеры использовали так называемую атаку right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков и используется в текстах, воспроизводимых справа налево, например, на арабском или иврите. В таблице Unicode символ представлен кодом ‘U+202E’.
Хакеры использовали RLO, чтобы поменять порядок символов в названии файла и его расширение. Таким образом, жертвы атаки скачивали из мессенджера вредоносное или шпионское ПО с измененным расширением, считая, что загружают изображения, аудиозаписи или видео. И сами же запускали его, даже не подозревая, что это исполняемый файл окажется вирусным. В качестве командного протокола ПО использовало Telegram API.
По словам антивирусного эксперта «Лаборатории Касперского» Алексея Фирша, разработчики антивирусного обеспечения нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, «ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Используя вычислительные возможности пораженного компьютера, преступники добывали такие монеты, как Monero, Zcash, Fantomcoin и другие.
В своем телеграм-канале Дуров ответил на обвинения, заявив, что антивирусные компании «всегда преувеличивают угрозу», согласившись с оценкой ситуации сообществом Тelegram Geeks. Представители последнего это уязвимостью не считают. Они объясняют, что запуск вредоносных программ не начнется, пока пользователь сам не скачает файл, а значит, проблема не в ПО, а в действиях пользователей. Хакеры используют социальную инженерию, и говорить об уязвимости некорректно.
Случай с Тelegram не первый в истории майнинговых кибератак. 11 февраля основатель сайта securityheaders.io и исследователь в области кибербезопасности Скот Хельм опубликовал расследование, согласно которому более 4000 правительственных сайтов США и Великобритании оказались заражены скриптами, позволяющими использовать оборудование в целях майнинга криптовалюты Monero.