0-day уязвимость в Telegram используется для заражения пользователей

Олег Иванов 13 Февраля 2018 - 12:53

...

0-day уязвимость в Telegram используется для заражения пользователей

Исследователи «Лаборатории Касперского» обнаружили случаи эксплуатации уязвимости в клиенте мессенджера Telegram для Windows. По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносное ПО. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта.

Уязвимость заключалась в использовании так называемой атаки right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков. Обычно он используется при работе с языками, в которых текст идет справа налево, например, с арабским языком или ивритом. Однако злоумышленники могут его использовать для того, чтобы вводить в заблуждение пользователей: RLO меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл.

Эксперты «Лаборатории Касперского» определили несколько целей злоумышленников. Для достижения первой киберпреступники использовали уязвимость для доставки бэкдора. В результате хакеры получали удаленный доступ к компьютеру жертвы. В качестве командного протокола ПО использовало Telegram API. После установки бэкдор работал в скрытом режиме, ничем не обнаруживая себя. При этом он выполнял различные команды злоумышленников, включая дальнейшую установку шпионского ПО.

Вторая цель — уязвимость эксплуатировалась для распространения ПО для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали различные криптовалюты, такие как Monero, Zcash, Fantomcoin и другие.

Кроме того, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них, кроме исполняемых и служебных файлов приложения, содержал в зашифрованном виде различные материалы пользователя, задействованные в переписке: документы, аудио- и видеозаписи, фотографии.

Артефакты, обнаруженные исследователями, позволяют предположить русскоязычное происхождение преступников. По нашим данным, все случаи эксплуатации уязвимости были зафиксированы в России.

«Популярность мессенджеров сегодня невероятно высока. Поэтому разработчикам очень важно обеспечивать надежную защиту пользователей, чтобы те не стали легкой мишенью для преступников. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — отметил Алексей Фирш, антивирусный эксперт «Лаборатории Касперского».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.