В Telegram обнаружена 0Day-уязвимость

Исследователи кибербезопасности из «Лаборатории Касперского» сообщили о случаях эксплуатации уязвимости нулевого дня в мессенджере Telegram, с помощью которой злоумышленники распространяли вредоносное ПО по меньшей мере с марта 2017 года.

По словам специалистов, уязвимость затрагивает клиент мессенджера для Windows и позволяет осуществить атаку right-to-left override (RLO) при отправке файлов собеседнику. RLO представляет собой специальный непечатный символ, обозначенный в таблице Unicode как U+202E. Данный символ служит для изменения порядка следующих за ним в строке знаков на зеркальный и используется в основном для языков с письменностью справа налево (например, арабский).

Атака подразумевает использование символа с целью введения жертвы в заблуждение, в частности отображения имени и расширения исполняемого файла частично в отзеркаленном виде. Таким образом переименовав исполняемый файл Javascript evil.js на photo_high_re*U+202E*gnp.js можно замаскировать вредонос под файл изображения photo_high_resj.png.

Распространяемое с помощью данной уязвимости вредоносное ПО имело две основные функции. Первая – получение удаленного доступа к компьютеру жертвы с последующей установкой шпионского ПО и хищением данных пользователей (в частности локального кэша Telegram). Вторая – установка на инфицированное устройство майнеров для добычи криптовалюты, в том числе Monero, Zcash, Fantomcoin и пр.

Как отметили эксперты ЛК, все случаи эксплуатации данной уязвимости были зафиксированы в России. Помимо этого, в ходе подробного изучения атак исследователи обнаружили множество артефактов, указывающих на то, что преступники были русскоязычными.

Исследователи уведомили Telegram об уязвимости и в настоящий момент она исправлена.