В клиенте Telegram для Windows, обнаружили уязвимость, которую хакеры, начиная с марта 2017 года, использовали для установки шпионского софта и майнинга криптовалют. Об этом во вторник, 13 февраля, сообщает Коммерсантъ со ссылкой на Лабораторию Касперского. В то же время создатель Telegram Павел Дуров скептически прокомментировал заявление антивирусной лаборатории.
Эксперты заявили, что уязвимость заключалась в использовании атаки RLO (right-to-left override), с помощью которой злоумышленники меняли порядок символов в названии и расширении файла. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения, и сами запускали его, не подозревая, что это исполняемый файл. Это позволяло киберпреступникам получать удаленный доступ к компьютерам жертв и использовать их вычислительные возможности для добычи криптовалют Monero, Zcash, Fantomcoin и других.
Кроме того, хакеры устанавливали на компьютеры шпионское ПО.
Так, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них помимо прочего содержал в зашифрованном виде различные материалы пользователя из переписки: документы, аудио- и видеозаписи, фотографии.
«Обнаруженные артефакты позволяют предположить русскоязычное происхождение преступников. Некоторые строчки во вредоносном коде были на русском языке, а в «засветившихся» email-адресах злоумышленников фигурировали русские слова и имена», — пояснил антивирусный эксперт Лаборатории Касперского Алексей Фирш.
Все случаи хакерских атак были зафиксированы в России и только с клиентом для Windows. При этом специалисты Лаборатории Касперского не исключают, что уязвимости были подвержены и другие платформы.
В настоящее время разработчики мессенджера Telegram уведомлены о проблеме, уязвимость уже закрыта.
В то же время создатель Telegram Павел Дуров попросил скептически относиться к сообщениям антивирусных компаний об уязвимостях в мессенджере. Об этом он написал в своем Telegram-канале.
«Отчеты антивирусных компаний должны приниматься с долей скептицизма, так как они склонны преувеличивать серьезность своих выводов, чтобы получить гласность в СМИ», - написал Дуров.
Он также попросил обратить внимание на сообщение в канале Telegram Geeks. В нем говорится, что никакой уязвимости в самом мессенджере не было, а шпионский софт хакеры устанавливали через рассылку вредоносных файлов.