Оффтоп Albert Khabibrakhimov
4 724

«Лаборатория Касперского» рассказала об уязвимости в Telegram — с её помощью можно было послать вирус под видом картинки

Жертвами атаки могли стать до тысячи пользователей приложения мессенджера для Windows.

В закладки

«Лаборатория Касперского» рассказала об уязвимости в Telegram, найденной в марте 2017 года. Она позволяла отправлять пользователям вредоносные программы под видом обычных вложений. Сразу после обнаружения уязвимости «Лаборатория Касперского» сообщила о ней разработчикам Telegram, сейчас она уже устранена, сообщили vc.ru в компании.

Специалисты обнаружили уязвимость в приложении Telegram для Windows. Злоумышленники использовали атаку RLO (right-to-left override) — это непечатный символ кодировки Unicode, который зеркально отражает знаки в именах файлов. Хакеры могли маскировать исполняемые файлы под картинки, и пользователь скачивал их, ничего не подозревая. После запуска такого файла злоумышленники получали контроль над компьютером жертвы.

По мнению экспертов «Лаборатории Касперского», хакеры преследовали несколько целей, в том числе майнинг криптовают с помощью заражённых компьютеров. На серверах злоумышленников специалисты также нашли архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них содержал в зашифрованном виде различные файлы пользователя, которые он использовал в переписках: документы, видео, аудиозаписи, фотографии.

Похоже, что об уязвимости было известно только злоумышленникам из России, так как все обнаруженные нами случаи эксплуатации происходили именно в этой стране.

Кроме того, в ходе подробного изучения атак мы находили множество артефактов, указывающих на почерк киберпреступников из России.

«Лаборатория Касперского»

Жертвами атаки на приложение Telegram для Windows могли стать до тысячи пользователей, рассказал «Коммерсанту» антивирусный эксперт «Лаборатории Касперского» Алексей Фирш. Работала ли уязвимость в других операционных системах, в компании не уточнили.

#новость #telegram

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","telegram"], "comments": 13, "likes": 20, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 33244, "is_wide": false, "is_ugc": false, "date": "Tue, 13 Feb 2018 14:49:28 +0300" }
{ "id": 33244, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/33244\/get","add":"\/comments\/33244\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/33244"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

13 комментариев 13 комм.

Популярные

По порядку

Написать комментарий...
10

Ребята из Касперского слишком много знают

Ответить
3

UTF это не только клингонский шрифт и фекальный смайлик, но и проблема с безопасностью (confusables etc)

Ответить
2

непечатный символ

Да уж, много непечатных символов ...

Ответить
1

Выглядело вот так, и неясно, ловил ли это Касперский и например Eset Nod 32.
По логике, скачать-то можно JS, но дальше проверка содержимого и запрет запуска ... у меня Eset прибивал даже .txt файлы с вирусной js сигнатурой внутри (во время
работы по поиску зараженных кусков сайта)

Непосредственно вчера оказалось что какая-то такая штука доступна в комментах VC ... но вроде загружать можно только png/jpg/gif файлы, так что будем надеяться что через VC загрузиться нельзя - хотя летние-осенние тормоза жжжжжжуткие пугали и заставляли снова и снова проверяться Dr. Web Cure It

// Скрины из заметки Касперского

Ответить
1

Нельзя. Вероятно идёт конвертация форматов.

Ответить
1

что за непрофессионализм? Где комментарий от телеграм? Так нельзя

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

–5

«Лаборатория» которая занимается взломом, всем уже давно известно...

Ответить
0

Вы прочитайте заметку до конца (Касперского), Там вирус садился на Telegram API, и ехал куда угодно на нем ... Может быть это Телеграм, платформа для средств удаленного управления?

Ответить
1

Может быть не нужно из-за любой потенциальной дыры (файл ещё нужно запустить) делать вывод, что это платформа для удалённого управления? Звучит также, как история с Intel - большие шок-заголовки о ДЫРЕ, позволяющей читать пользовательские данные, а на деле придумали gen FUCKING ius алгоритм, который в некоторых случаях мог выцырапать память соседнего ядра, что было запрещено на уровне процессора. Этим вообще нельзя было воспользоваться на уровне програмы и получить пользовательские данные, но раздули из мухи слона. Из-за чего некоторые предрекли крах интел🤣

Ответить
0

Я могу только повторить вопрос - Вы прочитали заметку до конца?

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления