Istraživači kompanije Kaspersky Lab otkrili su sajber napade koji su organizovani pomoću novog malvera koji koristi ranjivost nultog dana, u desktop verziji aplikacije “Telegram”. Ranjivost je korišćena za ubacivanje višenamenskog malvera, koji, u zavisnosti od računara, može biti korišćen ili kao „bekdor” malver ili kao sredstvo za aktivaciju softvera za rudarenje. Prema istraživanju, ranjivost biva aktivno korišćena od marta 2017. godine u funkciji rudarenja kriptovaluta, među koje spadaju i Monero, Zcash i mnoge druge.
Servisi za dopisivanje odavno su neodvojiv deo naših onlajn života i dizajnirani su da nam olakšaju održavanje kontakta sa prijateljima i porodicom. Međutim, oni takođe mogu i da značajno zakomplikuju situaciju ukoliko pretrpe neki sajber napad. Tako je prošlog meseca kompanija Kaspersky Lab objavila istraživački izveštaj o naprednom mobilnom malveru – Skygofree Trojanu, koji ima sposobnost krađe poruka sa aplikacije WhatsApp. Najnovije istraživanje pokazuje da su stručnjaci bili u mogućnosti da otkriju napade pomoću nove, do sada nepoznate ranjivosti u desktop verziji još jednog popularnog servisa za dopisivanje.
Prema istraživanju, ranjivost nultog dana u aplikaciji „Telegram” bazira se na Unikod RLO (right-to- left override) metodi koja se obično koristi za kodiranje jezika koji se pišu s desna na levo (poput arapskog ili hebrejskog) ili je, pak,mogu korititi tvorci malvera kako bi naveli korisnike da sa interneta skinu neki maliciozni fajl prerušen u sliku.
Napadači su u imenu fajla koristili skriveni Unikod karakter, koji ima sposobnost da obrne red slova u reči i tako je izmenio i ime samog fajla. Kao krajnji rezultat, korisnici su skidali skriveni malver koji bi potom bio instaliran na njihovim računarima. Kompanija Kaspersky Lab je ranjivost prijavila “Telegram” servisu i od momenta objaviljivanja, ranjivost nultog dana više nije primećena u njihovim proizvodima.
Tokom sprovođenja analize, stručnjaci kompanije Kaspersky Lab otkrili su nekoliko scenarija na osnovu kojih akteri pretnji mogu eksploatisati ranjivost nultog dana.. Ranjivost je prvobitno korišćena za ubacivanje malvera za rudarenje, koji može biti izuzetno opasan po korisnike. Korišćenjem računarskog kapaciteta žrtava, sajber kriminalci stvarali su različite vrste kriptovaluta, uključujući „Monero”, „Zcash”, „Fantomcoin” i druge. Štaviše, tokom analize servera aktera pretnji, istraživači kompanije Kaspersky Lab otkrili su arhive koje su sadržale lokalnu keš memoriju „Telegram” servisa, koja je bila ukradena od žrtava.
Kao drugi korak nakon uspešne eksploatacije ranjivosti, “„bekdor” malver koji je koristio interfejs za programiranje aplikacija (application programming interface - API) „Telegram” servisa kao komandni i kontrolni protokol biva instaliran, što je hakerima pružalo daljinski pristup žrtvinom računaru. Nakon instalacije, počinjao bi da radi u tihom režimu, što je omogućilo akteru pretnje da ostane neopažen u mreži i obavlja različite komande, uključujući i dalju instalaciju alata za viruse za špijunažu. Artefakti pronađeni tokom istraživanja ukazuju na rusko poreklo sajber kriminalaca.
„Popularnost servisa za dopisivanje je izuzetno velika i vrlo je je važno da developeri obezbede odgovarajuću zaštitu svojim korisnicima, kako oni da ne bi postali lake mete sajber kriminalaca. Otkrili smo nekoliko scenarija za korišćenje ove ranjivosti nultog dana, koja je – pored uobičajenih malvera i virusa za špijunažu- korišćena i za ubacivanje softvera za rudarenje, što je postalo globalni trend koji smo viđali kroz čitavu prošlu godinu. Štaviše, verujemo da je bilo i drugih načina za iskorišćavanje ove ranjivosti nultog dana”, rekao je Aleksej Firš (Alexey Firsh), malver analitičar i član sektora za ciljane napade u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab detektuju i blokiraju mogućnost korišćenja ove novootkrivene ranjivosti. Kako biste zaštitili svoj računar od bilo koje infekcije, kompanija Kaspersky Lab preporučuje sledeće:
-
Ne skidajte i ne otvarajte sa interenta nepoznate fajlove iz nesigurnih izvora;
-
Pokušajte da izbegavate deljenje bilo kakvih osetljivih ličnih informacija u apliakcijama za dopisivanje;
- Instalirajte pouzdano bezbednosno rešenje, poput rešenja „Kaspersky Internet Security” ili „Kaspersky Free” koja detektuju i štite korisnike od svih mogućih pretnji, uključujući i maliciozni softver za rudarenje.
Više o otkrivenoj ranjivosti nultog dana, kao i o tehničkim detaljima, možete pronaći u tekstu objavljenom na blogu Securelist.com.