Népszerű üzenetküldő alkalmazást használnak bányászatra

forrás: Prím Online, 2018. február 13. 17:01

A Kaspersky Lab kutatói egy új malware-t fedeztek fel, amely a Telegram alkalmazás asztali verziójának nulladik napi sebezhetőségét használja ki. A sebezhetőséget a malware szállítására használták, amely a számítógéptől függően képes backdoor-ként vagy bányászó programként viselkedni. A kutatások azt mutatják, a malware tavaly március óta aktív és olyan kriptovalutákat bányász, mint a Monero vagy a Zcash. 

 

Kép forrása: Kaspersky Blog

 

Az üzenetküldő szolgáltatások már régóta elengedhetetlen részei online életünknek, amelyek célja, hogy könnyebben tudjuk tartani a kapcsolatot családtagjainkkal, és barátainkkal. Ugyanakkor komoly problémát is jelenthetnek, amennyiben kibertámadást szenvednek el. Nem is olyan régen például a Skygofree trójai tarolt a kibertérben, amely képes volt a WhatsApp üzeneteket ellopni. A legújabb vizsgálatok eredményei alapján a kutatók azonosítottak egy új támadást, amely egy népszerű üzenetküldő alkalmazás asztali verziójának korábban ismeretlen sebezhetőségét használja ki. 

 

Kép forrása: Kaspersky Blog

 

A kutatások szerint a Telegram nulladik napi sebezhetőségének alapja az RLO (right-to-left-override) Unicode módszer. Ezt alapvetően olyan nyelvek kódolásához használják, amelyek jobbról balra írnak, például az arab- és a héber nyelv. Azonban nemcsak erre használható, hanem a kiberbűnözők is igénybe veszik azért, hogy megtévesszék a felhasználókat egy-egy fájl tartalmáról és letöltsék a fertőzött fájlt. 

 

A támadók egy rejtett Unicode karaktert használtak a fájl nevében, amely megfordította a karakterek sorrendjét, azaz átnevezte magát. Ennek eredményeként a felhasználók letöltötték a rejtett kártékony programot, amely települt a számítógépeken. A Kaspersky Lab természetesen jelezte a sérülékenységet a Telegramnak, így a publikálás óta nem látható további nulladik-napi sérülékenység. 

 

Az elemzések során a Kaspersky Lab szakértői azonosítottak számos nulladik-napi sebezhetőséget kihasználó kibercsapda-forgatókönyvet. Először is, a sérülékenységet használták a bányászó program letöltésére, amely jelentős kárt okozhat a felhasználóknak. Az áldozat PC-jének teljesítményét használva a kiberbűnözők olyan kriptovalutákat bányásztak, mint például Monero, Zcash vagy Fantomcoin. Továbbá a kutatók találtak néhány olyan archívumot, amely szerint ellopták az áldozatok lokális cache*-t. 

 

Másodsorban a biztonsági rés sikeres kiaknázása után a backdoor a Telegram kezelőfelületét használta C&C szerverként, amely segítségével a kiberbűnözők távolról is hozzáférhettek az áldozat számítógépéhez. Telepítés után néma üzemmódban kezdte meg működését, amely lehetővé tette, hogy a kibercsapda észrevétlen maradjon a hálózaton, és így hajtott végre parancsokat, többek között további spyware eszközök telepítését kezdeményezte. 

 

A kutatás során talált nyomok a bűnözők orosz eredetét jelezték. 

 

„Az instant üzenetszolgáltatók népszerűsége hihetetlenül magas és ezért is rendkívül fontos, hogy a fejlesztők megfelelő védelmet biztosítsanak a felhasználók számára és ne válhassanak a kiberbűnözők könnyű célpontjaivá. Számos olyan nulladik napi sebezhetőséget találtunk, – köztük általános malware-k és kémprogramok – amelyek segítségével bányászó programokat telepítettek a készülékekre. Az ilyen fertőzések világméretűvé váltak a tavalyi év során.” – magyarázta Alexey Firsh, a Kaspersky Lab Célzott Támadások Kutatócsoportjának malware elemzője. 

 

A Kaspersky Lab termékei észlelik és blokkolják a felfedezett biztonsági rés exploitját. 

 

A számítógép védelmének érdekében a Kaspersky Lab az alábbiakat javasolja:

  • Ne töltsön le és nyisson meg ismeretlen forrásból származó fájlokat. 
  • Kerülje a szenzitív adatok megosztását üzenetküldő alkalmazásokon keresztül. 
  • Telepítsen megbízható biztonsági megoldást, például a Kaspersky Internet Securityt-t vagy a Kaspersky Free programot. 

 

Bővebb információt a nulladik napi sebezhetőségről ezen a linken olvashat. 

______________

* A cache egy olyan nagyon gyors műödésű tároló, amelyben a gyakran használni kívánt adatokat átmenetileg tároljuk ("rejtjük") azért, mert így azokhoz sokkal gyorsabban hozzáférhetünk, mintha mindig az eredeti, lassabb elérésû forráshoz kellene nyúlnunk.

Biztonság ROVAT TOVÁBBI HÍREI

Év eleji trójai áradat

Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2018. januárjában a következő 10 károkozó terjedt a legnagyobb számban.

2018. február 20. 16:59

Ne légy online csalás áldozata!

A nemzetközi e-kereskedelem fejlődése alapjaiban változtatta meg vásárlási szokásainkat. De van ennek egy sötét oldala is, nevezetesen: online csalások és átverések. Fontossá vált napjainkban felismerni a hamis weboldalakat, webshopokat és online reklámokat, hogy ne csaljanak ki tőlünk felesleges pénzeket. A Shopalike nemzetközi csapata ennek érdekében szeretne egy átfogó tájékoztatást adni arról, hogyan is ismerjük fel a hamis webshopokat és mit tegyünk a legrosszabb esetben, ha csalás áldozataivá válunk.

2018. február 20. 10:33

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Közel az idő, amikor már nem lesz kormány

2018. február 20. 13:25

Gyorsuló vágykeltők – Minden út a fogyasztáshoz vezet!

2018. február 8. 10:28

Stratégiai program indul a blokklánc és fintech fejlesztések ösztönzésére

2018. január 26. 15:12

E-kereskedelmi Körkép 2017

2017. december 28. 09:48
cloudappsportal.com