Image by [email protected]

黑客利用Telegram零日漏洞传播恶意软件

Hackers Exploit 'Telegram Messenger' Zero-Day Flaw to Spread Malware

  linkthis    2018-03-06    1411 words

没有绝对的安全,个人信息隐私需要自己多加关注。

在用于端到端加密通讯的软件Telegram的桌面版中发现了一个零日漏洞,现在此漏洞正在被广泛的利用以散布挖掘加密货币(如Monero和ZCash)的恶意软件。
Telegram的这个漏洞在去年10月由卡巴斯基实验室的安全研究员Alexey Firsh发现,仅影响Telegram软件的Windows客户端。
从2017年3月开始,此漏洞就已经被广泛的利用。攻击者欺骗受害者将恶意软件下载到他们的PC上,利用他们PC的CPU算力来挖掘加密货币,或者作为攻击者的后门来远程控制受影响的机器(参见Securelist的帖子)。

Telegram漏洞的工作原理

此漏洞位于Telegram Windows客户端用于处理RLO(从右至左书写) Unicode字符(U+202E)的方法中,该方法用于编码从右向左书写的语言,如阿拉伯语或希伯来语。
根据卡巴斯基实验室的介绍,恶意软件制作者在文件名中使用了一个隐藏的RLO Unicode字符,此字符的顺序是反向的以达到重重命名文件的目的,并将其发送给Telegram用户。
例如,当攻击者在消息中向Telegram用户发送名为photo_high_re*U+202E*gnp.js的文件时,用户屏幕上显示的文件名的最后一部分将会发生翻转。
因此,Telegram用户将看到一个PNG图像文件被发送了,而不是JavaScript文件,以此误导他人下载伪装成图像的恶意文件。

在今天的新闻稿中卡巴斯基这样表示:“因此,用户下载了隐藏的恶意软件,随后安装在自己的电脑上。”

卡巴斯基实验室向Telegram报告了这个漏洞,该公司已经修复了其产品中的漏洞,正如俄罗斯安全公司所言:“在公开时,消息类产品中并没有发现这个零日漏洞。”

黑客利用Telegram感染PC来挖矿

在分析过程中,卡巴斯基研究人员发现了几种攻击者广泛使用的基于此零日漏洞的脚本。该漏洞主要用于传播恶意挖矿软件,利用受害者的PC算力挖掘不同类型的加密货币,例如Monero,Zcash,Fantomcoin等。
在分析攻击者的服务器时,研究人员还发现了包含Telegram本地缓存的存档,这些档均是从被害者那里窃取的。
在另一起案例中,网络罪犯成功利用该漏洞安装使用Telegram API作为命令和控制协议的特洛伊木马后门,使黑客能够远程访问受害者的计算机。

“安装完成后,它开始以静默模式运行,这使攻击者在网络环境中不容易被发现,并可以进一步地执行不同的命令,包括安装间谍工具,”该公司补充说。

Firsh认为,只有俄罗斯网络犯罪分子利用了此零日漏洞,因为“由研究人员发现的所有利用案例均在俄罗斯”,而且有大量痕迹指向了俄罗斯网络犯罪分子。
保护自己免受此类攻击的最佳方法就是不下载或打开那些未知来源或不可信的文件。
该安全公司还建议用户应该避免在通讯应用程序中共享任何敏感的个人信息,并确保在系统上安装由可靠公司提供的优秀防病毒软件。

Telegram不是绝对安全的通信工具,使用时还需自己多加注意。
由于本人过于咸鱼,不免出现错翻的情况,附上原文链接Hackers Exploit ‘Telegram Messenger’ Zero-Day Flaw to Spread Malware
本文采用CC BY-NC-ND 4.0许可协议进行许可,转载请注明出处。

本文最后更新时间为:2019-05-19-Sunday-09:47:19 PM




Image of Wechat