Hasznos, de veszélyes is lehet
Az üzenetküldő szolgáltatások már régóta elengedhetetlen részei online életünknek, amelyek célja, hogy könnyebben tudjuk tartani a kapcsolatot családtagjainkkal, és barátainkkal. Ugyanakkor komoly problémát is jelenthetnek, amennyiben kibertámadást szenvednek el.
Nem is olyan régen például a Skygofree trójai tarolt a kibertérben, amely képes volt a WhatsApp üzeneteket ellopni. A legújabb vizsgálatok eredményei alapján a kutatók azonosítottak egy új támadást, amely egy népszerű üzenetküldő alkalmazás asztali verziójának korábban ismeretlen sebezhetőségét használja ki.
A kutatások szerint a Telegram nulladik napi sebezhetőségének alapja az RLO (right-to-left-override) Unicode módszer.
Ezt alapvetően olyan nyelvek kódolásához használják, amelyek jobbról balra írnak, például az arab és a héber nyelv. Azonban nemcsak erre használható, hanem a kiberbűnözők is igénybe veszik azért, hogy megtévesszék a felhasználókat egy-egy fájl tartalmáról és letöltsék a fertőzött fájlt.
Nagy a kockázat
A támadók egy rejtett Unicode karaktert használtak a fájl nevében, amely megfordította a karakterek sorrendjét, azaz átnevezte magát. Ennek eredményeként a felhasználók letöltötték a rejtett kártékony programot, amely települt a számítógépeken. A Kaspersky Lab természetesen jelezte a sérülékenységet a Telegramnak, így a publikálás óta nem látható további nulladik-napi sérülékenység.
[extracode type=”ad” id=”in_post”]
Az elemzések során a Kaspersky Lab szakértői azonosítottak számos nulladik-napi sebezhetőséget kihasználó kibercsapda-forgatókönyvet. Először is, a sérülékenységet használták a bányászó program letöltésére, amely jelentős kárt okozhat a felhasználóknak.
Az áldozat PC-jének teljesítményét használva a kiberbűnözők olyan kriptovalutákat bányásztak, mint például Monero, Zcash vagy Fantomcoin. Továbbá a kutatók találtak néhány olyan archívumot, amely szerint ellopták az áldozatok lokális cache-t.
Másodsorban a biztonsági rés sikeres kiaknázása után a backdoor a Telegram kezelőfelületét használta C&C szerverként, amely segítségével a kiberbűnözők távolról is hozzáférhettek az áldozat számítógépéhez.
Telepítés után néma üzemmódban kezdte meg működését, amely lehetővé tette, hogy a kibercsapda észrevétlen maradjon a hálózaton, és így hajtott végre parancsokat, többek között további spyware eszközök telepítését kezdeményezte.
Könnyű sebezhetőség
A kutatás során talált nyomok a bűnözők orosz eredetét jelezték.
„Az instant üzenetszolgáltatók népszerűsége hihetetlenül magas és ezért is rendkívül fontos, hogy a fejlesztők megfelelő védelmet biztosítsanak a felhasználók számára és ne válhassanak a kiberbűnözők könnyű célpontjaivá” – mondta a Kaspersky Lab Célzott Támadások Kutatócsoportjának malware elemzője.
„Számos olyan nulladik napi sebezhetőséget találtunk, – köztük általános malware-k és kémprogramok – amelyek segítségével bányászó programokat telepítettek a készülékekre. Az ilyen fertőzések világméretűvé váltak a tavalyi év során” – magyarázta Alexey Firsh.
A Kaspersky Lab termékei észlelik és blokkolják a felfedezett biztonsági rés exploitját.
A számítógép védelmének érdekében a Kaspersky Lab azt javasolja, hogy ne töltsünk le és nyissunk meg ismeretlen forrásból származó fájlokat! Kerüljük a szenzitív adatok megosztását üzenetküldő alkalmazásokon keresztül! Telepítsünk megbízható biztonsági megoldást, például a Kaspersky Internet Securityt-t vagy a Kaspersky Free programot!
