НОВОЕ РУКОВОДСТВО ПО СОВРЕМЕННЫМ УГРОЗАМ В СФЕРЕ БЕЗОПАСНОСТИ


Уязвимость в Telegram

Специалисты по информационной безопасности из Лаборатории Касперского нашли в мессенджере Telegram уязвимость нулевого дня, через которую хакеры распространяли вредоносное ПО. Речь идет о клиенте Telegram для Windows. Злоумышленники начали эксплуатировать уязвимость в марте 2017 г., Лаборатория узнала об этом в октябре.

Компания уже предупредила мессенджер о проблеме, и Telegram закрыл дыру. Пользователем десктопной версии мессенджера рекомендуется обновиться до версии не ниже 1.2.0.

Все случаи эксплуатации уязвимости, замеченные экспертами, имели место на территории России. Проанализировав некоторые особенности почерка хакеров, сотрудники Лаборатории пришли к выводу, что преступники были русскоговорящими.

Символ RLO

Вредоносное ПО распространялось с помощью атаки, в ходе которой использовался специальный непечатный символ Unicode right-to-left override (RLO), который записывается как U+202E. Этот символ зеркально отражает текст, который за ним следует. RLO используется при обработке арабского языка и иврита, в которых принято писать справа налево.

Если вставить RLO в название файла, оно будет отражаться частично в зеркальном виде, включая расширение, что сделает его неузнаваемым. Таким образом вредоносный файл можно выдать за вполне безопасный. Пользователь не догадается, что это исполняемая программа, и скачает файл под видом, например, изображения.

Неизвестные хакеры использовали мессенджер Telegram для прослушки пользователей и добычи криптовалют

Чтобы замаскировать название файла, RLO следует вставить в строку следующим образом: evil.js переименовать в photo_high_re*U+202E*gnp.js. Поскольку символы, следующие после RLO, будут зеркально отражены, файл приобретет вместо расширение .js расширение .png, и пользователь примет его за картинку.

Контроль над устройствами

Как выяснила Лаборатория Касперского, злоумышленники придумали несколько способов эксплуатировать уязвимость. Одна из схем предполагала доставку через эту брешь бэкдора на устройство жертвы. Невидимый в скрытом режиме, бэкдор открывал хакерам удаленный доступ к этому устройству через командный протокол Telegram API. Через него можно было загрузить на устройство и другие вредоносные программы - например, шпионские.

Сам загрузчик был написан на .Net. Зараженными устройствами управлял Telegram-бот, который отдавал команды загрузчику на русском языке, что и позволило экспертом Лаборатории предположить русскоязычную принадлежность хакеров.

Добыча криптовалют

Была и другая схема, где уязвимость использовалась для распространения ПО для добычи криптовалют. Другими словами, хакеры осуществляли майнинг на мощностях компьютера жертвы, указав свой криптовалютный кошелек для хранения полученных монет.

В список добываемых таким образом криптовалют входили Monero, Zcash, Fantomcoin и другие. Zcash добывалось с помощью nheq.exe - Equihash-майнера для NiceHash, способного эксплуатировать ресурсы процессора и графического ускорителя. Для добычи Fantomcoin и Monero использовался майнер taskmgn.exe, который функционирует по алгоритму CryptoNight.

Помимо этого, хакеры качали с устройств пользователей локальный кэш Telegram, сохраняя его в архивы на своих серверах. Кроме рабочих файлов самого мессенджера в этих архивах были найдены личные файлы пользователей, в том числе документы, аудио, видео и фото. Однако все эти материалы были найдены на серверах преступников в зашифрованном виде.

По словам Алексея Фирша, антивирусного эксперта Лаборатории Касперского, могли быть и другие, более таргетированные схемы эксплуатации уязвимости.

Ответ Павла Дурова

Основатель Telegram Павел Дуров прокомментировал в своем Telegram-канале открытие Лаборатории Касперского. По его словам, антивирусные компании обычно склонны преувеличивать опасность в своих отчетах, чтобы привлечь внимание СМИ.

Дуров отметил со ссылкой на канал Telegram Geeks, что перед загрузкой вредоносного файла, пускай и замаскированного под безопасный, система запрашивает согласие пользователя. Если согласие не будет дано, устройство останется в безопасности. Фактически, считает Telegram Geeks, это была не уязвимость в самом мессенджере, а вредоносная рассылка, организованная с его помощью.

Другие новости на эту тему

Ученые Университета Нотр-Дам в Саут-Бенд (США) выяснили, что белковый фермент RIPK1, который участвует в некрозе клеток, способен блокировать рост злокачественных опухолей и возникновение метастазов. Исследователи надеются использовать это соединение для лечения особо опасных форм рака. Об этом сообщается в пресс-релизе на MedicalXpress...
SpaceX попробует поймать половину головного обтекателя ракеты Falcon 9 при помощи гигантской сетки. Ее снимок выложила в Twitter фотожурналист Teslarati Паулин Акалин. — TESLARATI (@Teslarati) 19 февраля 2018, 19:24 Фотографу удалось запечатлеть гигантскую сетку, развернутую на корабле Mr. Steven в порту Сан-Педро в Лос-Анджелесе (США)...
Итоги годаПо итогам 2017 г. на российский рынок было поставлено 2,4 млн принтеров, копиров и МФУ, что на 5,7% больше аналогичного показателя за 2016 г. Стоимость поставленной техники составила $592,65 млн - на 18,5% больше, чем в предыдущем году. К таким выводам пришла исследовательская компания IDC, проанализировавшая состояние рынка.Как ранее писал CNews, в 2016 г...
Назначение ХолкинаДиректором по информационным технологиям российского сотового оператора Tele2 назначен Дмитрий Холкин, сообщает компания. На новом посту Дмитрий будет отвечать за развитие ИТ-сферы в рамках общей стратегии и целей Tele2. До этого должность ИТ-директора Tele2 занимала Ольга Мордкович, проработавшая в компании в общей сложности более 13 лет...
Экспорт российского ПО растет Объем зарубежных продаж российского ПО и услуг по его разработке в 2017 г. составил примерно $8,5 млрд. Об этом рассказал Валентин Макаров - президент некоммерческого партнерства Руссофт, объединяющие отечественных компаний-разработчиков программного обеспечения. Это предварительные данные, детализация которых появится в конце марта 2018 г...
Международная группа астрономов открыла самую далекую из зафиксированных до сих пор мощных сверхновых, которая возникла 10,5 миллиарда лет назад. Об этом сообщается в пресс-релизе на Phys.org.Взорвавшаяся звезда, обозначенная как DES16C2nm, обнаружена в рамках проекта Dark Energy Survey, предназначенного для изучения расширения Вселенной и крупномасштабных галактических структур...
Вулканологи из Университета Дуйсбурга-Эссена в Германии объяснили, каким образом пещера, расположенная в античном городе Иераполе (Турция), убивала приближавшихся животных, но была безопасной для людей. Оказалось, что в подземной полости скапливались ядовитые концентрации углекислого газа, который образует приповерхностный слой толщиной 40 сантиметров. Об этом пишет издание Science Alert...
Археологи из Копенгагенского университета в Дании выяснили, что коренное население Карибских островов - народ таино - не вымерло из-за колонизации европейцами, как считалось ранее. Об этом пишет издание Science Alert.Народ таино был открыт Христофором Колумбом в 1492 году...
В России запускают Единую биометрическую систему Компания Ростелеком, оператор Единого портала госуслуг, представила Единую биометрическую систему (ЕБС). Она станет дополнением к Единой системе идентификации (ЕСИА) и будет запущена 1 июля 2018 г. На первом этапе к ЕБС будут подключены банки...
Прощание со Swype KeyboardКомпания Nuance Communications прекращает развитие популярной клавиатуры Swype Keyboard с функцией распознавания речи Dragon Dictation для Android. Информация об этом появилась в публикации на ресурсе Reddit...