Komunikator Telegram rozprzestrzeniał szkodliwe oprogramowanie do kopania kryptowalut

13 lutego, 2018

Komunikator Telegram rozprzestrzeniał szkodliwe oprogramowanie do kopania kryptowaluty. Badacze z Kaspersky Lab odkryli cyberataki, w których wykorzystano malware infekujące poprzez lukę dnia zerowego w wersji komunikatora Telegram przeznaczonej dla komputerów. Ta nieznana wcześniej luka została wykorzystana w celu dostarczenia wielozadaniowego szkodnika, który w zależności od komputera może być wykorzystany jako „tylna furtka” (tzw. backdoor) lub jako narzędzie dostarczania oprogramowania służącego do kopania kryptowaluty. Z badania wynika, że luka ta była aktywnie wykorzystywana od marca 2017 r. w celu generowania kryptowaluty, w tym m.in. Monero oraz Zcash.  

Komunikator Telegram szkodliwa wiadomośćKomunikator Telegram JavaScript kod

Komunikator Telegram wykorzystano do infekowania komputerów

Według badania luka dnia zerowego w aplikacji Telegram była oparta na funkcji stosowanej do kodowania języków, w których zapis jest przeprowadzany od prawej strony do lewej, np. arabski czy hebrajski. Niestety funkcja ta może być również wykorzystana przez twórców szkodliwego oprogramowania, aby podstępnie nakłonić użytkowników do pobrania szkodliwych plików, zamaskowanych na przykład pod postacią obrazków. 

Atakujący wykorzystali ukryty symbol w nazwie pliku, który odwracał kierunek znaków, zmieniając tym samym nazwę samego pliku. W efekcie użytkownicy pobierali ukryte szkodliwe oprogramowanie, które było następnie instalowane na ich komputerach. Kaspersky Lab zgłosił omawianą lukę twórcom aplikacji Telegram. Od tego czasu nie została zaobserwowana w komunikatorze.

Telegram komunikator BAT

Podczas swojej analizy eksperci z Kaspersky Lab zidentyfikowali kilka scenariuszy wykorzystania luki dnia zerowego przez cyberprzestępców. Po pierwsze, luka była stosowana w celu dostarczania oprogramowania służącego do kopania kryptowaluty, co może spowodować znaczące szkody. Wykorzystując moc obliczeniową komputerów ofiar, cyberprzestępcy generowali różne rodzaje kryptowaluty — między innymi Monero, Zcash oraz Fantomcoin. Co więcej, analizując serwery cyberprzestępcze, badacze z Kaspersky Lab znaleźli archiwa zawierające lokalną pamięć podręczną aplikacji Telegram, która została skradziona ofiarom. 

Po drugie, po skutecznym wykorzystaniu luki następowała instalacja backdoora, który wykorzystywał interfejs programowania (tzw. API) komunikatora Telegram jako protokół kontroli, umożliwiając cyberprzestępcom uzyskanie zdalnego dostępu do komputera ofiary. Następnie szkodnik działał w trybie dyskretnym, dzięki czemu atakujący mogli pozostawać niezauważeni w sieci, wykonując różne polecenia, łącznie z dalszym instalowaniem narzędzi szpiegujących.    

Wykryte podczas badania ślady językowe w szkodliwym kodzie wskazują na rosyjskie pochodzenie cyberprzestępców.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]