Cercetatorii Kaspersky Lab au descoperit atacuri realizate cu un nou tip de malware, care foloseste o vulnerabilitate de tip zero-day din aplicatia Telegram pentru desktop. Vulnerabilitatea a fost folosita pentru a livra malware multifunctional, care, in functie de computer, poate fi utilizat ca backdoor sau ca o modalitate de a introduce software de mining. Conform cercetarii, vulnerabilitatea a fost exploatata activ din luna martie 2017 pentru functionalitatea de mining de cripto-monede, printre care Monero si Zcash, scrie mobile.hotnews.ro.

Conform cercetarii, vulnerabilitatea zero-day Telegram se bazeaza pe metoda Unicode RLO („right-to-left override”). Aceasta este folosita, de obicei, pentru codarea limbilor al caror sistem de scriere este de la dreapta la stanga, cum sunt limba araba sau cea ebraica. In plus, insa, poate fi folosita de creatorii de malware ca sa deruteze utilizatorii si sa descarce fisiere malware deghizate in imagini, de exemplu. 

Infractorii cibernetici au folosit un caracter Unicode ascuns in numele fisierului, care a inversat ordinea caracterelor, redenumind astfel fisierul. Prin urmare, utilizatorii au descarcat malware ascuns care a fost apoi instalat pe computerele lor. Kaspersky Lab a raportat vulnerabilitatea Telegram si, pana in momentul publicarii, zero-day-ul nu a mai fost observat in produsele serviciului de mesagerie.

Pe parcursul analizei, expertii Kaspersky Lab  au identificat mai multe scenarii de exploatare  a vulnerabilitatii zero-day de catre atacatori. In primul rand, vulnerabilitatea a fost folosita pentru a livra malware de mining. Prin folosirea puterii de calcul a PC-ului victimei, infractorii cibernetici au creat diferite tipuri de cripto-monede, printre care Monero, Zcash, Fantomcoin si altele. Mai mult, in timpul analizei serverelor unui atacator, cercetatorii Kaspersky Lab au gasit arhive care contineau un cache local Telegram, furat de la victime.

In al doilea rand, in urma exploatarii cu succes a vulnerabilitatii, a fost instalat un backdoor care folosea Telegram API ca protocol de comanda si control, hackerii castigand astfel accesul de la distanta la computerul victimei. Dupa instalare, incepea sa opereze in mod silentios, ceea ce permitea autorului sa ramana ascuns in retea si sa execute diferite comenzi, printre care instalarea unor instrumente de spyware.

Artefactele descoperite in timpul cercetarii indica faptul ca infractorii cibernetici sunt vorbitori de limba rusa.

"Popularitatea serviciilor de mesagerie instant este incredibil de mare si este foarte important ca dezvoltatorii sa le furnizeze utilizatorilor o protectie adecvata, astfel incat sa nu devina victime ale infractorilor cibernetici", spune Alexey Firsh, Malware Analyst, Targeted Attacks Research, Kaspersky Lab. "Am gasit cateva scenarii de exploatare a acestei vulnerabilitati zero-day, care, pe langa functii generice de malware si spyware, a fost folosita pentru a livra software de mining - o tendinta globala pe care am vazut-o pe parcursul anului trecut. In plus, credem ca aceasta vulnerabilitate zero-day a fost folosita si in alte moduri."