Сотрудники антивирусной компании «Лаборатория Касперского» обнаружили в Windows-клиенте Telegram уязвимость. Она позволяла хакерам майнить на компьютерах жертв Monero, ZCash и Fantomcoin. С помощью уязвимости злоумышленники также устанавливали бэкдоры, через которые затем могли красть зашифрованные файлы и переписку пользователей. Разработчики Telegram уже устранили проблему.
Как показало исследование антивирусной компании, злоумышленники, вероятней всего, были русскоязычными. Некоторые части вредоносного кода использовали русские слова, а в обнаруженных email-адресах хакеров фигурировали русские имена и слова. Все обнаруженные жертвы также находились в России.
Хакеры эксплуатировали уязвимость мессенджера с марта 2017 года. Обнаружить ее сотрудникам «Лаборатории Касперского» удалось лишь октябре прошлого года. Уязвимость, которая срабатывала только для Windows-клиента Telegram, состояла в использовании специального Unicode-символа, который переводит левосторонний текст в правосторонний.
Жертва получала от хакеров файл с фактическим названием прикольная_картинка*U+202E*gnp.js. Текст U+202E — символ Юникода, который следующие за ним буквы и знаки препинания напишет справа налево. В результате на экране пользователя название файла выглядело так: прикольная_картинкаsj.png.
Ни о чем не догадываясь, жертва скачивала вместо изображения исполняемый файл, который затем часто запускала. После запуска зловред действительно показывает «прикольную картинку», чтобы усыпить внимание. Но затем троян, в зависимости от конфигурации, использовался для майнинга или установки бэкдора.
Хотя уязвимость уже устранена, случай показывает, что не стоит запускать к исполнению неизвестные файлы.
http://bitside.org/uyazvimost-telegram-mining/
