{"blocks":[{"type":"paragraph","data":{"text":"Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре. Через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода."}},{"type":"header3","data":{"level":3,"text":"RLO-атака"}},{"type":"paragraph","data":{"text":"Уязвимость заключается в особенности поддержки RLO. Right-to-left override — это непечатный символ Unicode для зеркального отражения строк при работе с языками, в которых текст читается справа налево. Злоумышленники вводили в заблуждение пользователей, отправляя под видом изображения исполняемый файл."}},{"type":"image","data":{"file":{"id":62886,"url":"https://media.tproger.ru/uploads/2018/02/2018-02-13.-telegram.png"},"alt":"","title":"","caption":"","stretched":false,"withBackground":false,"withBorder":false,"width":389,"height":127,"optimizedFile":{"original":"https://media.tproger.ru/uploads/2018/02/2018-02-13.-telegram.png","alt":"«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram 1","dimensions":{"width":389,"height":127},"additionalSizes":{"srcSet":[{"url":"https://tproger.ru/signed_image/1Dr-ShM_HLbW8eEoe3Fy8ipJcUMZkIJJ4in_8PjN6sg/rs:fill:389:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":389},{"url":"https://tproger.ru/signed_image/LrLAhFoUQ7lCHTjpbsv6Ev7iMlNoudqVk3LsIl7wk4c/rs:fill:778:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":778},{"url":"https://tproger.ru/signed_image/1Dr-ShM_HLbW8eEoe3Fy8ipJcUMZkIJJ4in_8PjN6sg/rs:fill:389:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":389},{"url":"https://tproger.ru/signed_image/LrLAhFoUQ7lCHTjpbsv6Ev7iMlNoudqVk3LsIl7wk4c/rs:fill:778:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":778},{"url":"https://tproger.ru/signed_image/1Dr-ShM_HLbW8eEoe3Fy8ipJcUMZkIJJ4in_8PjN6sg/rs:fill:389:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":389},{"url":"https://tproger.ru/signed_image/LrLAhFoUQ7lCHTjpbsv6Ev7iMlNoudqVk3LsIl7wk4c/rs:fill:778:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":778},{"url":"https://tproger.ru/signed_image/1Dr-ShM_HLbW8eEoe3Fy8ipJcUMZkIJJ4in_8PjN6sg/rs:fill:389:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":389},{"url":"https://tproger.ru/signed_image/LrLAhFoUQ7lCHTjpbsv6Ev7iMlNoudqVk3LsIl7wk4c/rs:fill:778:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbS5wbmc","dpr":1,"width":778}],"sizes":[{"media":"(min-width: 1441px)","size":"389px"},{"media":"(min-width: 1281px)","size":"389px"},{"media":"(min-width: 1281px)","size":"389px"},{"media":"(min-width: 961px)","size":"389px"},{"media":"(min-width: 671px)","size":"389px"},{"media":"(min-width: 500px)","size":"389px"}]}}}},{"type":"paragraph","data":{"text":"На самом деле, имя этого файла photo_high_reU+202Egnp.js, где U+202E — «отражающий» символ Unicode."}},{"type":"header3","data":{"level":3,"text":"Эксплойт"}},{"type":"paragraph","data":{"text":"Вредоносный файл не может активироваться сам собой, его должен запустить пользователь. Канал Telegram Geeks относит подобные уязвимости к социальной инженерии — некоторые люди не ожидают подвоха от png-файла и нажимают в появившемся окне «Запустить»:"}},{"type":"image","data":{"file":{"id":62887,"url":"https://media.tproger.ru/uploads/2018/02/2018-02-13.-telegram_1.jpg"},"alt":"","title":"","caption":"","stretched":false,"withBackground":false,"withBorder":false,"width":742,"height":711,"optimizedFile":{"original":"https://media.tproger.ru/uploads/2018/02/2018-02-13.-telegram_1.jpg","alt":"«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram 2","dimensions":{"width":742,"height":711},"additionalSizes":{"srcSet":[{"url":"https://tproger.ru/signed_image/PwGkb7BFd3vjHOswbGglHXvcRVyHUyCgfjwh31senMk/rs:fill:742:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":742},{"url":"https://tproger.ru/signed_image/b2m1IDiY9DU3_wC37qCEzTpzKlJfA9v0b-frRrU-jsU/rs:fill:1484:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":1484},{"url":"https://tproger.ru/signed_image/34A7-n4k7BHrzfzwk2pyIbA7BvK_trSqo5YiP9BfYcc/rs:fill:686:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":686},{"url":"https://tproger.ru/signed_image/uBAQQa2C5Ssd0UzxXzIBXGKfuwLxo6t77AX66YDMQq0/rs:fill:1372:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":1372},{"url":"https://tproger.ru/signed_image/FOgi7PBxJLdFEDBa2-HaaDF7BnCRYvb0fRqB_oJPwBU/rs:fill:636:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":636},{"url":"https://tproger.ru/signed_image/g_6Bi_0SBTbbC0Zv1qLs72ABbkWPglcqIEpxblNcll0/rs:fill:1272:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":1272},{"url":"https://tproger.ru/signed_image/hUKr8lbHGaMqmKY6h8CDSxuF2qd392NJvCiNkK_zs_o/rs:fill:466:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":466},{"url":"https://tproger.ru/signed_image/4FsY1TWlsQJFd_5MyFLd_fOn6igOLQlYLAXHdAiyRyg/rs:fill:932:0:true/cb:vimg_2/f:webp/aHR0cHM6Ly9tZWRpYS50cHJvZ2VyLnJ1L3VwbG9hZHMvMjAxOC8wMi8yMDE4LTAyLTEzLi10ZWxlZ3JhbV8xLmpwZw=","dpr":1,"width":932}],"sizes":[{"media":"(min-width: 1441px)","size":"742px"},{"media":"(min-width: 1281px)","size":"686px"},{"media":"(min-width: 1281px)","size":"742px"},{"media":"(min-width: 961px)","size":"742px"},{"media":"(min-width: 671px)","size":"636px"},{"media":"(min-width: 500px)","size":"466px"}]}}}},{"type":"paragraph","data":{"text":"Только после клика файл JavaScript начинает загружать и устанавливать вредоносные программы."}},{"type":"paragraph","data":{"text":"В основном, злоумышленники без ведома пользователей майнили на их компьютерах криптовалюту: Monero, Zcash и Fantomcoin. Но обнаружены и другие эксплойты: запущенный скрипт устанавливал бэкдор, контролируемый через Telegram API, или другие вредоносные программы."}},{"type":"header3","data":{"level":3,"text":"Сделано в России"}},{"type":"paragraph","data":{"text":"Алекс Фирш в отчете, на который ссылается Bleeping Computer, упомянул, что эксплуатация уязвимости зафиксирована только в отношении российских пользователей:"}},{"type":"blockquote","data":{"author":"","authorJob":"","fullWidth":false,"quoteMark":false,"withBorder":false,"text":"Выяснилось, что только российские киберпреступники знают об этой уязвимости <…> Мы не знаем точно, какие версии Telegram были уязвимы и как долго. Все, что известно, — эксплуатация уязвимости в клиентах Windows началась в марте 2017 года."}},{"type":"header3","data":{"level":3,"text":"Реакция Telegram"}},{"type":"paragraph","data":{"text":"Павел Дуров в своем официальном канале опубликовал пост, в котором посетовал на манеру антивирусных компаний создавать шумиху вокруг своей находки и сгущать краски с намерением привлечь внимание прессы:"}},{"type":"blockquote","data":{"author":"","authorJob":"","fullWidth":false,"quoteMark":false,"withBorder":false,"text":"«Лаборатория Касперского» заявила сегодня, что они нашли «0day-уязвимость в Telegram для Windows», которая затронула «1000 пользователей до того, как она была исправлена». Как всегда, к отчетам антивирусных компаний надо относиться скептически."}}]}

Ошибка в настройках сайта