Масштабы выявленной уязвимости в Telegram преувеличены — Дуров

Oops! Соответствующей картинки нет
  15.02.2018, 20:36 в рубрике «Лента новостей»
  Комментариев нет



Создатель известного мессенджера, который позиционируется как «защищённый от прослушки», пояснил, что злоумышленники использовали социальную инженерию. «»Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на текущий момент уязвимость закрыта», — обозначено в сообщении компании. Пользователем десктопной версии мессенджера рекомендуется обновиться до версии не ниже 1.2.0.

Все случаи эксплуатации уязвимости, замеченные знатоками, имели место на территории РФ.

— Обнаруженные артефакты позволяют представить русскоязычное происхождение злоумышленников. Хакеры могли менять название файлов, а кроме этого порядок символов в его расширении. Этот символ зеркально отражает текст, который за ним следует.

Уязвимость представляла собой использование символа компьютерной шифровки, используемого в работе с языками.

Ежели вставить RLO в название файла, оно будет отображаться частично в зеркальном виде, включая расширение, что сделает его неузнаваемым. Так вредный файл можно выдать за вполне неопасный.

По его словам, «такая уязвимость основана на социальной инженерии», так как киберпреступники не могут получить доступ к компьютерам пользователей, ежели те не открывали вредный файл. В итоге, получателю придёт файл photo_high_resj.png, другими словами PNG-картинка. Они меняли порядок символов в названии файла и в его расширении.

Уязвимость эксплуатировалась в дополнении Telegram для Windows, и, по всей видимости. Одна из схем подразумевала доставку через эту брешь бэкдора на устройство жертвы.

На компьютере жертвы хакеров устанавливался так называемый бэкдор, при помощи которого можно получить удаленный доступ к устройству, а кроме этого распространить софт для скрытого для майнинга криптовалют. Они объясняют, что запуск разрушительных программ не начнется, пока пользователь сам не скачает файл, а значит, проблема не в ПО, а в действиях пользователей.

Сам загрузчик был написан на.Net. По последней информации «Лаборатории Касперского», уязвимость была на руку хакерам во время применения атаки RLO, которая заключается в зеркальном отражении направлении знаков. Мы нашли сразу несколько сценариев применения уязвимости, через которую, кроме шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем на протяжении всего периода «криптовалютного бума». Затем злоумышленники получали контроль над компьютером.

В список добываемых так криптовалют входили Monero, Zcash, Fantomcoin и другие. Также майнеры часто добывают криптовалюту через маркетинговые страницы и сервисы для онлайн-просмотра телесериалов. Для добычи Fantomcoin и Monero употреблялся майнер taskmgn.exe, который работает по алгоритму CryptoNight. В том числе, личные фотографии, документы, аудио- и видеозаписи.

«Замаскировать их удавалось с помощью особой атаки right-to-left override, специального символа компьютерной шифровки (RLO), использующегося в работе с языками, где текст идет справа налево (например, арабский либо иврит)», — указывается в оповещении «Лаборатории Касперского», — «С помощью данного символа злоумышленники и меняли расширение файлов, которые открывал ничего не подозревающий пользователь». Но все эти материалы были найдены на серверах злоумышленников в зашифрованном виде.

«Лаборатория Касперского» выявила проблему в мессенджере Telegram, которую хакеры с марта предыдущего года использовали для доступа к компьютерам русских пользователей.

«Сообщения антивирусных компаний всегда стоит воспринимать со скепсисом, так как они часто преувеличивают серьезность найденных ими сложностей, чтобы привлечь внимание СМИ», — написал он в своем Telegram-канале.

«Обычно, отчеты антивирусных компаний нужно воспринимать с долей скепсиса, так как они склонны преувеличивать серьезность собственных выводов», — написал он и разъяснил это желанием антивирусных компаний получить широкое освещение «своих находок» в СМИ.

«Если вы не открывали вредный файл, вы остались в безопасности», — сообщается в канале Telegram Geeks, на который ссылается Павел Дуров.




Читайте также:

Комментарии:


Добавить комментарий

Имя обязательно

Комментарий c активными интернет-ссылками (http / www) автоматически помечается как spam

18+ © 2002-2018 РЫБИНСКonLine: Все, что Вы хотели знать... Рыбинск