Zero-day-kwetsbaarheid van Telegram messenger gebruikt om multifunctionele malware te verspreiden

Onderzoekers van Kaspersky Lab hebben 'in het wild' aanvallen ontdekt die door nieuwe malware worden uitgevoerd met behulp van een zero-day beveiligingslek in de Telegram Desktop-app. Het beveiligingslek werd gebruikt om multifunctionele malware te verzenden die, afhankelijk van de computer, kan worden gebruikt als achterdeur of als instrument om mining-software af te leveren. Het beveiligingslek wordt sinds maart 2017 actief benut voor cryptovaluta mining-functionaliteit, waaronder Monero, Zcash, et cetera.

Volgens het onderzoek was het Telegram zero-day beveiligingslek gebaseerd op de RLO (right-to-left override) Unicode-methode. Deze wordt gewoonlijk gebruikt voor het coderen van talen die van rechts naar links worden geschreven, zoals Arabisch of Hebreeuws. Het kan door makers van malware echter ook worden gebruikt om gebruikers te misleiden zodat zij kwaadaardige bestanden downloaden die bijvoorbeeld zijn vermomd als afbeeldingen.

Tijdens hun analyse identificeerden Kaspersky Lab-deskundigen verschillende ‘in het wild’ zero-day exploitatiescenario's door dreigingsactors. Om te beginnen werd het beveiligingslek misbruikt voor het afleveren van mining-malware, die behoorlijk schadelijk kan zijn voor de gebruikers.

Na succesvolle exploitatie van het beveiligingslek, werd een backdoor geïnstalleerd die de Telegram API als command & control-protocol gebruikte, waardoor de hackers op afstand toegang kregen tot de computer van het slachtoffer. Na installatie begon de malware in stille modus te werken, waardoor de dreigingsactor onopgemerkt kon blijven in het netwerk en verschillende opdrachten kon uitvoeren, waaronder de verdere installatie van spyware-instrumenten.

Lees meer op securelist.com