«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram
Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре, через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.
Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре. Через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.
RLO-атака
Уязвимость заключается в особенности поддержки RLO. Right-to-left override — это непечатный символ Unicode для зеркального отражения строк при работе с языками, в которых текст читается справа налево. Злоумышленники вводили в заблуждение пользователей, отправляя под видом изображения исполняемый файл.
На самом деле, имя этого файла photo_high_reU+202Egnp.js
, где U+202E
— «отражающий» символ Unicode.
Эксплойт
Вредоносный файл не может активироваться сам собой, его должен запустить пользователь. Канал Telegram Geeks относит подобные уязвимости к социальной инженерии — некоторые люди не ожидают подвоха от png-файла и нажимают в появившемся окне «Запустить»:
Только после клика файл JavaScript начинает загружать и устанавливать вредоносные программы.
В основном, злоумышленники без ведома пользователей майнили на их компьютерах криптовалюту: Monero, Zcash и Fantomcoin. Но обнаружены и другие эксплойты: запущенный скрипт устанавливал бэкдор, контролируемый через Telegram API, или другие вредоносные программы.
Сделано в России
Алекс Фирш в отчете, на который ссылается Bleeping Computer, упомянул, что эксплуатация уязвимости зафиксирована только в отношении российских пользователей:
Реакция Telegram
Павел Дуров в своем официальном канале опубликовал пост, в котором посетовал на манеру антивирусных компаний создавать шумиху вокруг своей находки и сгущать краски с намерением привлечь внимание прессы: