«Лабораторія Касперського» виявила нову можливість для кібератак на Telegram для Windows. Уразливість дозволяє хакерам отримати доступ до файлів користувача і Майн криптовалюта, за допомогою обчислювальних потужностей комп'ютера. Жертвами шахраїв могли стати близько тисячі росіян. «360» розбирався, як вірус-майнер проникав в ноутбуки, планшети і персональні комп'ютери громадян.
Фахівці лабораторії знайшли уразливість в месенджері Telegram. Пролом у захисті використовувалася хакерами для зараження користувачів версії додатка для Windows і поширення ПО для Майнінг. Про це йдеться на сторінках офіційного блогу «Лабораторії Касперського». За відомостями експертів, зловмисники використовували пролом як мінімум з березня 2017 року, поширюючи через неї шкідливі програми. В даний момент уразливість вже закрита, стверджують творці месенджера.
«Популярність месенджерів сьогодні неймовірно висока. Ми знайшли відразу кілька сценаріїв використання уразливості, через яку, крім шпигунського ПЗ, поширювалися і Майнер, що стали глобальним трендом, який ми спостерігаємо протягом усього періоду "кріптовалютного буму". Не виключено, що були й інші, більш таргінг сценарії використання цієї уразливості », - призводить РІА «Новости» коментар антивірусного експерта компанії Олексія Фірша.
Запускаючи вірус, хакери переслідували кілька цілей. По-перше, використовуючи вразливість, злочинці встановлювали бекдор, який дозволяє отримати віддалений доступ до зараженого ноутбуку або планшету. Після установки бекдор працював в прихованому режимі, а користувач не міг його засікти. При цьому він виконував різні команди хакерів, такі як установка шпигунського устаткування і збір персональних даних власника комп'ютера.
Крім копіювання файлів вірус займався і Майнінг криптовалюта, використовуючи комп'ютерні можливості. За допомогою прихованого вірусу-Майнера зловмисники добували такі популярні монети, як Monero, Zcash і Fantomcoin. Жертвами кібератаки могли стати близько тисячі росіян, підрахували фахівці «Лабораторії Касперського».
Примітно, що випадок з Telegram не перший в історії майнінгових кібератак. Напередодні засновник сайту securityheaders.io і дослідник в області кібербезпеки Скотт Хельм опублікував розслідування на тему того, як хакери Майні, використовуючи потужності урядів різних країн. Згідно з цим звітом, протягом усього 2017 року понад чотири тисячі урядових сайтів США, Австралії та Великобританії виявилися заражені скриптами, що дозволяють використовувати обладнання з метою Майнінг криптовалюта Monero.
Вірус замість картинки
Для відправки вірусу через Telegram кіберзлочинці використовували так звану атаку right-to-left override (RLO). RLO являє собою особливий друкований символ кодування Unicode. Цей механізм кодування дзеркально відображає напрямок знаків. Він використовується програмістами в текстах, відтворюваних справа наліво, наприклад, на арабському або івриті.
Хакери використовували RLO, щоб поміняти порядок символів в назві файлу і його розширення, пояснює в розмові з «360» заступник керівника лабораторії з комп'ютерної криміналістиці Group IB Сергій Нікітін. Таким чином жертви скачували шкідливий софт під виглядом, наприклад, зображення або картинки. Потім користувачі самі запускали його, не підозрюючи, що впустили в комп'ютер шпигунський вірус. «Атака подібного типу не нова - вона використовується хакерами вже протягом десяти років. Вона полягає в тому, що шахраї перейменовують файл, дзеркально міняючи назву для того, щоб Telegram прийняв вірус за картинку. При цьому користувач сам може зрозуміти, що скачав вірус, так як замість картинки там з'явиться діалогове вікно, яке попросить запустити додаткові файли », - розповідає співрозмовник« 360 ».
Для програми, яка позиціонує себе як самого безпечного в світі мессенждери, такі помилки неприпустимі, вважає засновник компанії DriverPack Solution Артур Кузяків. «Сьогодні не існує на 100% захищених від вірусів додатків, але у випадку з Telegram користувачі були впевнені, що всі їхні дані зашифровані і конфіденційні. Через помилки розробників додатка вся персональна інформація і особисте листування росіян, чиї комп'ютери були зламані, виявилася в руках хакерів, що для месенджера такого рівня є неприйнятним », - заявив Кузяків« 360 ».
Уважність і оновлення антивіруса
Для того щоб убезпечити себе від кібератак користувач повинен уважно до всіх повідомлень не тільки в месенджерах, а й в електронній пошті і SMS-оповіщеннях, зазначив у розмові з редакцією «360» керівник аналітичного центру компанії Zecurion Володимир Ульянов.
Якщо вам приходить повідомлення від невідомого користувача, то не варто його читати. Також категорично заборонено переходити за посиланнями від незнайомого відправника, запускати виконувані файли і мультимедійні додатки. Потрібно пам'ятати, що антивірус не захищає на 100% від всіх небезпек
- Володимир Ульянов.
Експерт підкреслив, що завантажувати оновлення антивіруса і інші додатки на комп'ютер та інші пристрої потрібно тільки з офіційних сайтів-розробників програм. «Масові торішні атаки вірусів-вимагачів Wanna Cry і Petya показали, що вірус потрапляв тільки в ті комп'ютери, в яких стояли старі антивіруси, а система давно не оновлювалася», - зауважує Ульянов.
З початку 2017 роки від рук хакерів постраждали близько шести мільярдів користувачів по всьому світу, свідчать результати дослідження американського аналітичного агентства Risk Based Security. Найчастіше для крадіжки персональної інформації кіберзлодії використовували такі технологічні прийоми, як скімінг, фішинг і навмисний запуск вірусів-викрадачів. При цьому найчастіше в руки злочинців потрапляли не номери їх банківських рахунків, а особиста інформація про користувача (40%), електронні (33%) і фізичні (30%) адреси, а також паролі від соцмереж і різних додатків (28%).