Uzbrukumi pirmo reizi notika 2017. gada martā, un tos veic Krievijas kibernoziedznieku bandas, norāda Kaspersky Lab.
Nulles dienas ievainojamība programmā Telegram Messenger ļāva uzbrucējiem izplatīt jauna veida ļaunprātīgu programmatūru ar iespējām, sākot no aizmugures Trojas zirga izveides līdz kriptovalūtas ieguvei.
Uzbrukumos tiek izmantota iepriekš nezināma ievainojamība operētājsistēmai Windows paredzētajā Telegram Desktop lietotnē, un tika konstatēta izmantošana savvaļā. Kaspersky Lab.
Pētnieki uzskata, ka Krievijas kibernoziedznieku grupa, kas izmantoja nulles dienu, bija vienīgā, kas zināja par ievainojamību un ir izmanto to ļaunprātīgas programmatūras izplatīšanai kopš 2017. gada marta — lai gan nav zināms, cik ilgi ievainojamība pastāvēja pirms tam datums.
Ir novērots, ka uzbrukumos upuriem tiek zagti Telegram katalogi, tostarp informācija par viņu personīgo saziņu un nosūtītajiem un saņemtajiem failiem.
Unikoda kodēšanas metodes RLO (no labās uz kreiso ignorēšanas) ievainojamība ļāva uzbrucējiem veikt uzbrukumus. Kodēšanas metode no labās uz kreiso parasti tiek izmantota tādā veidā rakstītu valodu kodēšanai, piemēram, arābu un ebreju valodā, taču uzbrucēji varēja to izmantot, lai mainītu kodu.
Izmantojot slēptu unikoda rakstzīmi faila nosaukumā, uzbrucēji var mainīt rakstzīmju secību un pārdēvējiet failu, maskējot ļaunprātīgos failus kā kaut ko nevainīgu un lejupielādējot to savā datorā upuri.
Faila paplašinājumu var mainīt un izmantot, lai pievilinātu lietotāju lejupielādēt kaut ko pavisam citu, nekā viņš domā, ka saņem.
Piemēram, lietotājs var likt domāt, ka viņš saņem .png failu, ja pats fails patiesībā ir .js fails, kas paredzēts JavaScript palaišanai un ļaunprātīga koda ievadīšanai sistēmā.
Ievainojamību var izmantot, lai veiktu dažādus uzbrukumus inficētai mašīnai. Vienu kravnesību uzbrucēji, kas tiek izplatīti šādā veidā, var izmantot, lai pārņemtu iekārtas tālvadību.
Skatīt arī: Kiberkarš: ceļvedis tiešsaistes konfliktu biedējošajai nākotnei
Šajā gadījumā lejupielādētājs, kas rakstīts .NET un izmanto Telegram API kā komandu protokolu spēj palaist modificētu sākuma reģistra atslēgu sistēmā, ļaujot uzbrucējiem iegūt pilnu kontrole.
Šīs aizmugures durvis ļauj veikt vairākas ļaunprātīgas darbības, tostarp failu palaišanu, lejupielādi un dzēšanu un tīmekļa pārlūkošanas vēstures arhīvu izvilkšanu.
Pētnieki atzīmē, ka komandas, kas ir ieviestas krievu valodā, izskatās tā, it kā tās varētu izmantot, lai inficētajā sistēmā nomestu papildu ļaunprātīgu programmatūru, piemēram, taustiņu bloķētājus.
Papildus aizmugures durvju instalēšanai sistēmā uzbrucēji var arī pielāgot Telegram ļaunprogrammatūru kriptovalūtas ieguve - tostarp Monero, ZCash un Fantomcoin. Nav zināms, cik daudz ir iegūts no shēmas, bet tas var izrādīties ļoti ienesīgs kibernoziedzniekiem.
Šajā gadījumā ļaunprātīgā krava vispirms atver mānekļu failu, lai iemidzinātu upurus nepatiesā drošības sajūtā, ka nekas aizdomīgs nenotiek. Tomēr pēc instalēšanas kriptovalūtas ieguvēji skrien aizkulisēs.
Ja tiek nospiests pārāk tālu, ieguves darbība var pārkarst vai citādi sabojāt iekārtu -- visu laiku, kamēr upuris nav pārliecināts, kāpēc viņu fani tik smagi strādā.
"Mēs esam atraduši vairākus šīs nulles dienas izmantošanas scenārijus, kas papildus vispārējai ļaunprātīgai programmatūrai un spiegprogrammatūrai tika izmantoti ieguves programmatūras piegādei Šādas infekcijas ir kļuvušas par globālu tendenci, ko esam novērojuši visa pēdējā gada laikā," sacīja Aleksejs Firšs, Kaspersky Lab ļaunprātīgas programmatūras analītiķis.
Pētnieki nav atklājuši, kad ievainojamība tika atklāta, taču teica, ka kopš tās atklāšanas Telegram uzbrukumi, izmantojot šo izmantošanu, savvaļā nav novēroti. ZDNet mēģināja sazināties ar Telegram, bet publicēšanas laikā nebija saņēmis atbildi.
Viens veids, kā Telegram lietotāji var izvairīties no šāda veida uzbrukumu upuriem, ir nelejupielādēt neuzticamus failus no nezināmiem avotiem — un jāuzmanās no uzticamiem kontaktiem, kas pēkšņi mēģina koplietot failus bez tiem kontekstā.
Telegram defekts ļauj uzbrucējiem mainīt kodu, lai izplatītu ļaunprātīgu programmatūru.
LASĪT VAIRĀK PAR KIBERNOZIEDZĪBU
- Spiegošanas ļaunprogrammatūra snoops paroles, raktuves bitcoin pusē
- Skygofree Android ļaunprogrammatūra ir "viena no visspēcīgākajām jebkad redzētajām" [TechRepublic]
- Facebook Messenger lietotājs? Uzmanieties no viltotiem ziņojumiem, kas viltoti ar ļaunprātīgu programmatūru
- WhatsApp, Telegram trūkumi atstāja kontus neaizsargātus pret hakeriem [CNET]
- Ransomware: kāpēc blēži atsakās no bitkoīna un kurp viņi dodas tālāk