A Kaspersky Lab kutatói egy új malware-t fedeztek fel, amely a Telegram alkalmazás asztali verziójának nulladik napi sebezhetőségét használja ki.

A sebezhetőséget a malware szállítására használták, amely a számítógéptől függően képes backdoor-ként vagy bányászó programként viselkedni. A kutatások azt mutatják, a malware tavaly március óta aktív és olyan kriptovalutákat bányász, mint a Monero vagy a Zcash.

Az üzenetküldő szolgáltatások már régóta elengedhetetlen részei online életünknek, amelyek célja, hogy könnyebben tudjuk tartani a kapcsolatot családtagjainkkal, és barátainkkal. Ugyanakkor komoly problémát is jelenthetnek, amennyiben kibertámadást szenvednek el. Nem is olyan régen például a Skygofree trójai tarolt a kibertérben, amely képes volt a WhatsApp üzeneteket ellopni. A legújabb vizsgálatok eredményei alapján a kutatók azonosítottak egy új támadást, amely egy népszerű üzenetküldő alkalmazás asztali verziójának korábban ismeretlen sebezhetőségét használja ki.

A kutatások szerint a Telegram nulladik napi sebezhetőségének alapja az RLO (right-to-left-override) Unicode módszer. Ezt alapvetően olyan nyelvek kódolásához használják, amelyek jobbról balra írnak, például az arab- és a héber nyelv. Azonban nemcsak erre használható, hanem a kiberbűnözők is igénybe veszik azért, hogy megtévesszék a felhasználókat egy-egy fájl tartalmáról és letöltsék a fertőzött fájlt.

A támadók egy rejtett Unicode karaktert használtak a fájl nevében, amely megfordította a karakterek sorrendjét, azaz átnevezte magát. Ennek eredményeként a felhasználók letöltötték a rejtett kártékony programot, amely települt a számítógépeken. A Kaspersky Lab természetesen jelezte a sérülékenységet a Telegramnak, így a publikálás óta nem látható további nulladik-napi sérülékenység.

Az elemzések során a Kaspersky Lab szakértői azonosítottak számos nulladik-napi sebezhetőséget kihasználó kibercsapda-forgatókönyvet. Először is, a sérülékenységet használták a bányászó program letöltésére, amely jelentős kárt okozhat a felhasználóknak. Az áldozat PC-jének teljesítményét használva a kiberbűnözők olyan kriptovalutákat bányásztak, mint például Monero, Zcash vagy Fantomcoin. Továbbá a kutatók találtak néhány olyan archívumot, amely szerint ellopták az áldozatok lokális cache-t (A cache egy olyan nagyon gyors műödésű tároló, amelyben a gyakran használni kívánt adatokat átmenetileg tároljuk ("rejtjük") azért, mert így azokhoz sokkal gyorsabban hozzáférhetünk, mintha mindig az eredeti, lassabb elérésű forráshoz kellene nyúlnunk).

Másodsorban a biztonsági rés sikeres kiaknázása után a backdoor a Telegram kezelőfelületét használta C&C szerverként, amely segítségével a kiberbűnözők távolról is hozzáférhettek az áldozat számítógépéhez. Telepítés után néma üzemmódban kezdte meg működését, amely lehetővé tette, hogy a kibercsapda észrevétlen maradjon a hálózaton, és így hajtott végre parancsokat, többek között további spyware eszközök telepítését kezdeményezte.

A kutatás során talált nyomok a bűnözők orosz eredetét jelezték.

"Az instant üzenetszolgáltatók népszerűsége hihetetlenül magas és ezért is rendkívül fontos, hogy a fejlesztők megfelelő védelmet biztosítsanak a felhasználók számára és ne válhassanak a kiberbűnözők könnyű célpontjaivá. Számos olyan nulladik napi sebezhetőséget találtunk, - köztük általános malware-k és kémprogramok - amelyek segítségével bányászó programokat telepítettek a készülékekre. Az ilyen fertőzések világméretűvé váltak a tavalyi év során." - magyarázta Alexey Firsh, a Kaspersky Lab Célzott Támadások Kutatócsoportjának malware elemzője.