«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram

Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре. Через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.

RLO-атака

Уязвимость заключается в особенности поддержки RLO. Right-to-left override — это непечатный символ Unicode для зеркального отражения строк при работе с языками, в которых текст читается справа налево. Злоумышленники вводили в заблуждение пользователей, отправляя под видом изображения исполняемый файл.

На самом деле, имя этого файла photo_high_reU+202Egnp.js, где U+202E — «отражающий» символ Unicode.

Эксплойт

Вредоносный файл не может активироваться сам собой, его должен запустить пользователь. Канал Telegram Geeks относит подобные уязвимости к социальной инженерии — некоторые люди не ожидают подвоха от png-файла и нажимают в появившемся окне «Запустить»:

Только после клика файл JavaScript начинает загружать и устанавливать вредоносные программы.

В основном, злоумышленники без ведома пользователей майнили на их компьютерах криптовалюту: Monero, Zcash и Fantomcoin. Но обнаружены и другие эксплойты: запущенный скрипт устанавливал бэкдор, контролируемый через Telegram API, или другие вредоносные программы.

Сделано в России

Алекс Фирш в отчете, на который ссылается Bleeping Computer, упомянул, что эксплуатация уязвимости зафиксирована только в отношении российских пользователей:

Реакция Telegram

Павел Дуров в своем официальном канале опубликовал пост, в котором посетовал на манеру антивирусных компаний создавать шумиху вокруг своей находки и сгущать краски с намерением привлечь внимание прессы: