Cercetatorii Kaspersky Lab au descoperit atacuri realizate cu un nou tip de malware, care foloseste o vulnerabilitate de tip zero-day din aplicatia Telegram pentru desktop. Vulnerabilitatea a fost folosita pentru a livra malware multifunctional, care, in functie de computer, poate fi utilizat ca backdoor sau ca o modalitate de a introduce software de mining. Conform cercetarii, vulnerabilitatea a fost exploatata activ din luna martie 2017 pentru functionalitatea de mining de cripto-monede, printre care Monero si Zcash.
Serviciile de mesagerie au devenit o parte esentiala din viata noastra, fiind create pentru a facilita mentinerea legaturii cu prietenii si familia. In acelasi timp, ele pot sa complice semnificativ lucrurile pentru utilizatorii lor, daca devin victimele unui atac cibernetic. De exemplu, luna trecuta Kaspersky Lab a publicat un raport de cercetare despre un malware complex pentru dispozitive mobile, troianul Skygofree, care poate sa sustraga mesaje de pe WhatsApp. Noua cercetare arata ca expertii au reusit sa identifice atacuri care folosesc o vulnerabilitate necunoscuta anterior, din versiunea pentru desktop a unui alt serviciu de mesagerie.
Conform cercetarii, vulnerabilitatea zero-day Telegram se bazeaza pe metoda Unicode RLO („right-to-left override”). Aceasta este folosita, de obicei, pentru codarea limbilor al caror sistem de scriere este de la dreapta la stanga, cum sunt limba araba sau cea ebraica. In plus, insa, poate fi folosita de creatorii de malware ca sa deruteze utilizatorii si sa descarce fisiere malware deghizate in imagini, de exemplu.
Infractorii cibernetici au folosit un caracter Unicode ascuns in numele fisierului, care a inversat ordinea caracterelor, redenumind astfel fisierul. Prin urmare, utilizatorii au descarcat malware ascuns care a fost apoi instalat pe computerele lor. Kaspersky Lab a raportat vulnerabilitatea Telegram si, pana in momentul publicarii, zero-day-ul nu a mai fost observat in produsele serviciului de mesagerie.
Pe parcursul analizei, expertii Kaspersky Lab au identificat mai multe scenarii de exploatare a vulnerabilitatii zero-day de catre atacatori. In primul rand, vulnerabilitatea a fost folosita pentru a livra malware de mining. Prin folosirea puterii de calcul a PC-ului victimei, infractorii cibernetici au creat diferite tipuri de cripto-monede, printre care Monero, Zcash, Fantomcoin si altele. Mai mult, in timpul analizei serverelor unui atacator, cercetatorii Kaspersky Lab au gasit arhive care contineau un cache local Telegram, furat de la victime.
In al doilea rand, in urma exploatarii cu succes a vulnerabilitatii, a fost instalat un backdoor care folosea Telegram API ca protocol de comanda si control, hackerii castigand astfel accesul de la distanta la computerul victimei. Dupa instalare, incepea sa opereze in mod silentios, ceea ce permitea autorului sa ramana ascuns in retea si sa execute diferite comenzi, printre care instalarea unor instrumente de spyware.
Artefactele descoperite in timpul cercetarii indica faptul ca infractorii cibernetici sunt vorbitori de limba rusa.
„Popularitatea serviciilor de mesagerie instant este incredibil de mare si este foarte important ca dezvoltatorii sa le furnizeze utilizatorilor o protectie adecvata, astfel incat sa nu devina victime ale infractorilor cibernetici”, spune Alexey Firsh, Malware Analyst, Targeted Attacks Research, Kaspersky Lab. „Am gasit cateva scenarii de exploatare a acestei vulnerabilitati zero-day, care, pe langa functii generice de malware si spyware, a fost folosita pentru a livra software de mining – o tendinta globala pe care am vazut-o pe parcursul anului trecut. In plus, credem ca aceasta vulnerabilitate zero-day a fost folosita si in alte moduri.”
Produsele Kaspersky lab detecteaza si blocheaza posibilitatile de a exploata vulnerabilitatea descoperita.
Pentru protectia PC-urilor, Kaspersky Lab recomanda urmatoarele:
- Nu descarcati si nu deschideti fisiere din surse necunoscute.
- Incercati sa evitati dezvaluirea oricaror informatii personale sensibile prin intermediul serviciilor de mesagerie instant.
- Instalati o solutie de securitate eficienta, precum Kaspersky Internet Security sau Kaspersky Free, care detecteaza si va protejeaza de orice amenintari, printre care si programe de mining.
Detalii – inclusiv tehnice – despre aceasta vulnerabilitate zero-day sunt disponibile in articolul de pe Securelist.com.
Despre Kaspersky Lab
Kaspersky Lab este o companie globala din domeniul securitatii cibernetice, care in anul 2017 a aniversat 20 de ani de activitate. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.