Найти в Дзене
Telegram news
30 подписчиков

«Лаборатория Касперского» обнаружила уязвимость в Telegram для Windows, которую использовали для майнинга

14
2 мин
Специалисты «Лаборатории Касперского» выявили в клиенте мессенджера Telegram для Windows «уязвимость нулевого дня». Её использовали с марта 2017 года и применяли в том числе и для майнинга криптовалют Monero, Zcash, Fantomcoin и других. Компания уведомила разработчика об уязвимости, после чего её устранили. Она также использовалась для распространения вирусов на компьютерах пользователей. Для этого злоумышленники применяли символ кодировки Unicode – RLO (right-to-left override), который меняет название файла и отображает его зеркально. Жертвы могли скачивать вирус под видом изображения и не подозревали, что это вредоносное ПО, пояснили в «Лаборатории». Эта уязвимость обнаружена только в Windows-клиенте Telegram, в мобильных приложениях ее не было. Наши эксперты обнаружили не только ее саму, но и тот факт, что злоумышленники ей уже активно пользовались. Жертва получала псевдокартинку, открывала ее — и ее компьютер оказывался зараженным. Операционная система может предупредить, что по

Специалисты «Лаборатории Касперского» выявили в клиенте мессенджера Telegram для Windows «уязвимость нулевого дня». Её использовали с марта 2017 года и применяли в том числе и для майнинга криптовалют Monero, Zcash, Fantomcoin и других.

Компания уведомила разработчика об уязвимости, после чего её устранили. Она также использовалась для распространения вирусов на компьютерах пользователей. Для этого злоумышленники применяли символ кодировки Unicode – RLO (right-to-left override), который меняет название файла и отображает его зеркально. Жертвы могли скачивать вирус под видом изображения и не подозревали, что это вредоносное ПО, пояснили в «Лаборатории».

Эта уязвимость обнаружена только в Windows-клиенте Telegram, в мобильных приложениях ее не было. Наши эксперты обнаружили не только ее саму, но и тот факт, что злоумышленники ей уже активно пользовались. Жертва получала псевдокартинку, открывала ее — и ее компьютер оказывался зараженным. Операционная система может предупредить, что пользователь запускает исполняемый файл из неизвестного источника, — это должно насторожить человека, который вообще-то открывал картинку, а не файл с кодом. Но, как это ни печально, многие нажимают Run или «Запустить», не всматриваясь в сообщение.

Скриншот с сайта kaspersky.ru
Скриншот с сайта kaspersky.ru

После запуска зловред действительно показывает «прикольную картинку», чтобы усыпить внимание жертвы. А дальше есть несколько вариантов — в зависимости от конфигурации трояна.
Вариант номер раз — скрытый майнинг. Компьютер будет тормозить и перегреваться, бросая все силы на добычу криптовалюты для злоумышленников. Вариант номер два — установка бэкдора, который позволяет преступникам управлять компьютером удаленно и делать с ним все, что захочется, — от удаления и установки любых программ до сбора ваших личных данных. Такая зараза может очень долго прятаться на устройстве, никак не выдавая свое присутствие.

Антивирусный эксперт «Лаборатории Касперского» Алексей Фирш добавил, что компания исследовала только случай с клиентом для Windows и не исключает, что уязвимость затронула и другие платформы. При этом он подчеркнул, что речь шла только о клиенте для ПК.

В компании рассказали , что все случаи появления уязвимости были зафиксированы в России. От действий злоумышленников пострадали до тысячи пользователей.

Оригинал статьи на оф. сайте Касперского: https://www.kaspersky.ru/blog/telegram-rlo-vulnerability/19644/

Статья, где разбирается работа вируса: https://securelist.ru/zero-day-vulnerability-in-telegram/88594/