卡巴斯基实验室发现一种最新的恶意软件利用Telegram桌面应用的零日漏洞在“野外”进行攻击。
卡巴斯基实验室发现一种最新的恶意软件利用Telegram桌面应用的零日漏洞在“野外”进行攻击。这种漏洞被用来传播多种用途的恶意软件,具体取决于被感染计算机被用作后门或是传播挖矿软件的工具。根据研究,子2017年3月以来,该漏洞就被广泛应用来进行加密货币挖掘,其中包括门罗币和Zash等。
社交信息服务一直都是我们联网生活重要的组成部分,因为这些服务能够让我们与朋友和家人更便捷地进行联系。与此同时,如果这些服务遭受网络攻击,可能会导致事情复杂化。例如,上个月,卡巴斯基实验室发布了一份关于高级手机恶意软件Skygofree木马的研究报告,这种恶意软件能够窃取WhatsApp发送的信息。最新的研究显示,安全专家能够在“野外”发现了利用另一款常用的即时通讯服务的桌面版中的最新的和之前未知的漏洞实施的攻击。
根据研究,这种Telegram零日漏洞基于RLO(从右到左覆盖)Unicode手段。这种方法通常用来编写从右向左书写的语言,如阿拉伯语或希伯来语。此外,这种手段还可以被恶意软件用来误导用户下载伪装了的恶意文件,例如伪装成图片的恶意文件。
攻击者在文件名中使用了隐藏的Unicode字符,并且反转了字符的顺序,从而对文件进行重命名。结果导致用户下载隐藏的恶意软件,之后将其安装到计算机上。卡巴斯基实验室将这一漏洞上报给Telegram,到本文发布时,没有发现这种产品中的该零日漏洞再被利用。
分析过程中,卡巴斯基实验室专家发现攻击者多次利用这种零日漏洞实施攻击。首先,这种漏洞被用来传播挖矿恶意软件,从而给用户造成严重的危害。通过使用受害者计算机的算力,网络罪犯能够挖掘多种不同类型的加密货币,包括门罗币、Zcash和Fantomcoin等。此外,在分析攻击者的服务器时,卡巴斯基实验室研究人员还发现了网络罪犯从受害者那里盗窃的包含Telegram本地缓存的档案。
其次,在成功利用漏洞后,网络罪犯会安装使用Telegram API作为命令和控制协议的后门程序,导致黑客能够远程访问受害者的计算机。安装完成后,后门程序会采取静默模式运行,让攻击者可以偷偷潜伏在网络中不被发现,执行多种命令,包括进一步安装间谍软件工具。
研究过程中发现的证据显示这种恶意软件来自俄罗斯网络罪犯之手。
“即时通讯服务的普及程度非常高,开发者为他们的用户提供适当的保护非常重要,这样他们就不会成为犯罪分子轻易得手的目标。我们发现了这种零日漏洞被多次使用的情况,除了用来传播普通恶意软件和间谍软件外,还用来传播挖矿软件,而且这种感染情况从去年开始就已经成为一种全球趋势。不仅如此,我们认为还有其它手段利用这种零日漏洞,”卡巴斯基实验室针对性攻击研究兼恶意软件分析师Alexey Firsh说。
卡巴斯基实验室产品能够检测和拦截这种漏洞被利用的情况。
为了保护您的计算机不受感染,卡巴斯基实验室建议采取以下措施:
- 不要从不受信任的来源下载文件,也不要打开来自这些来源的文件;
- 避免在即时通讯工具中分享任何敏感的个人信息;
- 安装可靠的安全解决方案,例如卡巴斯基安全软件或卡巴斯基免费版。这些安全解决方案能够检测可能出现的威胁,包括恶意挖矿软件,保护您的安全。
更多有关最新发现的零日漏洞详情,包括其技术细节,请参见Securelist.com上的博文。
