Пользователи Telegram почти год находились под угрозой хакеров

Эксперты «Лаборатории Касперского» обнаружили брешь в клиенте мессенджера Telegram для Windows-компьютеров, которую хакеры, начиная с марта 2017 года, использовали для установки шпионского софта и майнинга криптовалют.

По словам специалистов, уязвимость заключалась в использовании атаки RLO (right-to-left override), с помощью которой злоумышленники меняли порядок символов в названии и расширении файла. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения, и сами запускали его, не подозревая, что это исполняемый файл. Это позволяло киберпреступникам получать удаленный доступ к компьютерам жертв и использовать их вычислительные возможности для добычи криптовалют Monero, Zcash, Fantomcoin и других.

Кроме того, хакеры устанавливали на компьютеры шпионское ПО. Так, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них помимо прочего содержал в зашифрованном виде различные материалы пользователя из переписки: документы, аудио- и видеозаписи, фотографии.

«Обнаруженные артефакты позволяют предположить русскоязычное происхождение преступников. Некоторые строчки во вредоносном коде были на русском языке, а в «засветившихся» email-адресах злоумышленников фигурировали русские слова и имена», — пояснил антивирусный эксперт «Лаборатории Касперского» Алексей Фирш.

Все случаи хакерских атак были зафиксированы в России и только с клиентом для Windows. При этом специалисты «Лаборатории Касперского» не исключают, что уязвимости были подвержены и другие платформы. В настоящее время разработчики мессенджера Telegram уведомлены о проблеме, уязвимость уже закрыта.

Основатель Telegram Павел Дуров с сомнением отнесся к заявлению «Лаборатории Касперского» об уязвимости, обнаруженной в мессенджере. Он считает, что речь идет не о реальной уязвимости Telegram, а об атаке путем социальной инженерии: жертвы сами устанавливали себе вредоносный софт, и если этого не делать, то безопасность гарантирована. Однако представитель «Лаборатории Касперского» настаивает, что речь шла именно об уязвимости в самом мессенджере, но теперь она исправлена.

Особенность оформления текста c использованием символа RLO не нова и широко используется злоумышленниками для маскировки исполняемого расширения файла по меньшей мере уже лет 20, рассказывает эксперт Глеб Чербов. Здесь речь идет, скорее, о классической фишинговой рассылке, но с использованием мессенджера. Необходимо своевременно обновлять софт, быть бдительным и не загружать подозрительные файлы.

Напомним о недавно ставшей известной информации о том, что свыше 4200 интернет-ресурсов, в основном принадлежащих правительствам США и Великобритании, были заражены майнером криптовалюты Monero.

Торговать акциями удобнее всего в FxPro, где трейдерам доступны CFD на акции более 140 самых обсуждаемых компаний мира.

Аналитика FxTeam в Telegram – читайте новости и аналитику первыми!