telegram
9

Ależ paskudna wpadka Telegrama. 0-day wykorzystany bezlitośnie

Telegram, komunikator uchodzący za wzór dla maniaków prywatności został bezlitośnie zaatakowany przez cyberprzestępców. Ci skorzystali ze znalezionego 0-daya na tę platformę i rozpoczęli rozsyłanie niebezpiecznych plików, które instalowały na komputerach ofiar tzw. minery służące do zdalnego wykopywania kryptowalut.

Najnowszy atak opisany przez Kaspersky’ego wskazuje na wykorzystanie niekoniecznie odkrywczego triku. Jak się okazuje, luka pozwalała na umieszczenie w komunikatorze pliku, który „udawał” całkowicie bezpieczną treść. Ofiary otrzymywały z pozoru nieszkodliwy obraz PNG, który w rzeczywistości był kodem JavaScript wykonujący dalsze, złośliwe czynności.

Wszystko przez specyfikę Unicode – Telegram w bardzo niebezpieczny sposób pozwalał na sprytną zmianę nazwy pliku

Jak się okazuje, Telegram dla systemu Windows bardzo specyficznie podchodził do Unicode. Za pomocą znaku „U+202E” możliwa jest zmiana „kierunku” tekstu. I tak na przykład, wykorzystanie go np. w wyrazie „ANTYWEB” spowodowałoby, że obsługujący go obszar zamiast tego wyświetliłby „BEWYTNA”, wystarczy, że jako nazwę pliku zadalibyśmy „*U+202E*ANTYWEB”.

Cyberprzestępcy wykorzystali tę specyfikę do zmiany nazwy reprezentowanej przez dymek z otrzymanym plikiem. Jak się okazuje, użytkownicy otrzymywali załącznik „photo_high_re*U+202E*gnp.js”, który w programie wyglądał na: „photo_high_resj.png”. Użytkownik może więc uznać, że ma do czynienia z całkowicie bezpieczną treścią i zachęcony tym faktem, aktywować plik na swojej maszynie.

telegram

Co tak naprawdę pobierały ofiary ataku?

W wyniku wykorzystania tej luki w programie Telegram dla systemu Windows, nieostrożni użytkownicy mogli wpaść w pułapkę cyberprzestępców. Plik, o którym mowa powyżej, po jego uruchomieniu wykonywał kod, który instalował na komputerze ofiary złośliwe oprogramowanie służące m. in. do wykopywania określonych kryptowalut. To z kolei powodowało znaczne obciążenie komputera (w wyniku przeprowadzania obliczeń), spadki wydajności, a nawet kłopoty ze stabilnością.

Jak wynika z informacji pozyskanych przez Kaspersky’ego, cyberprzestępcy zaprzęgali maszyny do kopania Monero, Zcash, oraz Fantomcoina. Zdarzało się, że oprócz typowych „minerów” instalowano również inne, niebezpieczne oprogramowanie. Oczywiście, wiele zależy tutaj od samego użytkownika komputera – jeżeli ten nie kliknął w plik, z pewnością nie został zarażony złośliwym oprogramowaniem. Prawdopodobnie użytkownicy nowszych wersji Windows z zaktualizowanym Defenderem również nie mogły paść ofiarą tego oszustwa – proaktywna ochrona wskazywała na niebezpieczeństwo.

Po raz kolejny powtarzam – trzeba uważać

Jak dodaje Kaspersky, ofiarami tego ataku były przede wszystkim osoby mieszkające w Rosji, ale donosi się o nielicznych przypadkach zarażenia poza tym krajem. To sprowadza się do jednego – należy bezwzględnie uważać i absolutnie nie otwierać nawet takich plików, które wyglądają na całkowicie bezpieczne, ale pochodzą od nieznanego nam użytkownika. Rozwaga to nie tylko w mojej ocenie, ale również ekspertów ds. cyberprzestępczości najlepsza cecha każdego użytkownika komputera i w większości przypadków pozwala na uniknięcie zarażenia.