«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram

Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре, через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.

Злоумышленники использовали 0day-уязвимость в Windows-клиенте Telegram для установки программ-майнеров и доставки бэкдора. Специалист «Лаборатории Касперского» Алекс Фирш обнаружил брешь в октябре. Через месяц разработчики Telegram устранили проблему, но к тому времени уязвимость была активна больше полугода.

RLO-атака

Уязвимость заключается в особенности поддержки RLO. Right-to-left override — это непечатный символ Unicode для зеркального отражения строк при работе с языками, в которых текст читается справа налево. Злоумышленники вводили в заблуждение пользователей, отправляя под видом изображения исполняемый файл.

«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram 1

На самом деле, имя этого файла photo_high_reU+202Egnp.js, где U+202E — «отражающий» символ Unicode.

Эксплойт

Вредоносный файл не может активироваться сам собой, его должен запустить пользователь. Канал Telegram Geeks относит подобные уязвимости к социальной инженерии — некоторые люди не ожидают подвоха от png-файла и нажимают в появившемся окне «Запустить»:

«Лаборатория Касперского» обнаружила 0day-уязвимость в Windows-клиенте Telegram 2

Только после клика файл JavaScript начинает загружать и устанавливать вредоносные программы.

В основном, злоумышленники без ведома пользователей майнили на их компьютерах криптовалюту: Monero, Zcash и Fantomcoin. Но обнаружены и другие эксплойты: запущенный скрипт устанавливал бэкдор, контролируемый через Telegram API, или другие вредоносные программы.

Сделано в России

Алекс Фирш в отчете, на который ссылается Bleeping Computer, упомянул, что эксплуатация уязвимости зафиксирована только в отношении российских пользователей:

Выяснилось, что только российские киберпреступники знают об этой уязвимости <…> Мы не знаем точно, какие версии Telegram были уязвимы и как долго. Все, что известно, — эксплуатация уязвимости в клиентах Windows началась в марте 2017 года.

Реакция Telegram

Павел Дуров в своем официальном канале опубликовал пост, в котором посетовал на манеру антивирусных компаний создавать шумиху вокруг своей находки и сгущать краски с намерением привлечь внимание прессы:

«Лаборатория Касперского» заявила сегодня, что они нашли «0day-уязвимость в Telegram для Windows», которая затронула «1000 пользователей до того, как она была исправлена». Как всегда, к отчетам антивирусных компаний надо относиться скептически.