Népszerű üzenetküldő alkalmazást használnak bányászatra

forrás: Prím Online, 2018. február 13. 17:01

A Kaspersky Lab kutatói egy új malware-t fedeztek fel, amely a Telegram alkalmazás asztali verziójának nulladik napi sebezhetőségét használja ki. A sebezhetőséget a malware szállítására használták, amely a számítógéptől függően képes backdoor-ként vagy bányászó programként viselkedni. A kutatások azt mutatják, a malware tavaly március óta aktív és olyan kriptovalutákat bányász, mint a Monero vagy a Zcash. 

 

Kép forrása: Kaspersky Blog

 

Az üzenetküldő szolgáltatások már régóta elengedhetetlen részei online életünknek, amelyek célja, hogy könnyebben tudjuk tartani a kapcsolatot családtagjainkkal, és barátainkkal. Ugyanakkor komoly problémát is jelenthetnek, amennyiben kibertámadást szenvednek el. Nem is olyan régen például a Skygofree trójai tarolt a kibertérben, amely képes volt a WhatsApp üzeneteket ellopni. A legújabb vizsgálatok eredményei alapján a kutatók azonosítottak egy új támadást, amely egy népszerű üzenetküldő alkalmazás asztali verziójának korábban ismeretlen sebezhetőségét használja ki. 

 

Kép forrása: Kaspersky Blog

 

A kutatások szerint a Telegram nulladik napi sebezhetőségének alapja az RLO (right-to-left-override) Unicode módszer. Ezt alapvetően olyan nyelvek kódolásához használják, amelyek jobbról balra írnak, például az arab- és a héber nyelv. Azonban nemcsak erre használható, hanem a kiberbűnözők is igénybe veszik azért, hogy megtévesszék a felhasználókat egy-egy fájl tartalmáról és letöltsék a fertőzött fájlt. 

 

A támadók egy rejtett Unicode karaktert használtak a fájl nevében, amely megfordította a karakterek sorrendjét, azaz átnevezte magát. Ennek eredményeként a felhasználók letöltötték a rejtett kártékony programot, amely települt a számítógépeken. A Kaspersky Lab természetesen jelezte a sérülékenységet a Telegramnak, így a publikálás óta nem látható további nulladik-napi sérülékenység. 

 

Az elemzések során a Kaspersky Lab szakértői azonosítottak számos nulladik-napi sebezhetőséget kihasználó kibercsapda-forgatókönyvet. Először is, a sérülékenységet használták a bányászó program letöltésére, amely jelentős kárt okozhat a felhasználóknak. Az áldozat PC-jének teljesítményét használva a kiberbűnözők olyan kriptovalutákat bányásztak, mint például Monero, Zcash vagy Fantomcoin. Továbbá a kutatók találtak néhány olyan archívumot, amely szerint ellopták az áldozatok lokális cache*-t. 

 

Másodsorban a biztonsági rés sikeres kiaknázása után a backdoor a Telegram kezelőfelületét használta C&C szerverként, amely segítségével a kiberbűnözők távolról is hozzáférhettek az áldozat számítógépéhez. Telepítés után néma üzemmódban kezdte meg működését, amely lehetővé tette, hogy a kibercsapda észrevétlen maradjon a hálózaton, és így hajtott végre parancsokat, többek között további spyware eszközök telepítését kezdeményezte. 

 

A kutatás során talált nyomok a bűnözők orosz eredetét jelezték. 

 

„Az instant üzenetszolgáltatók népszerűsége hihetetlenül magas és ezért is rendkívül fontos, hogy a fejlesztők megfelelő védelmet biztosítsanak a felhasználók számára és ne válhassanak a kiberbűnözők könnyű célpontjaivá. Számos olyan nulladik napi sebezhetőséget találtunk, – köztük általános malware-k és kémprogramok – amelyek segítségével bányászó programokat telepítettek a készülékekre. Az ilyen fertőzések világméretűvé váltak a tavalyi év során.” – magyarázta Alexey Firsh, a Kaspersky Lab Célzott Támadások Kutatócsoportjának malware elemzője. 

 

A Kaspersky Lab termékei észlelik és blokkolják a felfedezett biztonsági rés exploitját. 

 

A számítógép védelmének érdekében a Kaspersky Lab az alábbiakat javasolja:

 

Bővebb információt a nulladik napi sebezhetőségről ezen a linken olvashat. 

______________

* A cache egy olyan nagyon gyors műödésű tároló, amelyben a gyakran használni kívánt adatokat átmenetileg tároljuk ("rejtjük") azért, mert így azokhoz sokkal gyorsabban hozzáférhetünk, mintha mindig az eredeti, lassabb elérésû forráshoz kellene nyúlnunk.