r   e   k   l   a   m   a
reklama

Sztuczka z pismem od prawej do lewej pomogła zainstalować koparki kryptowalut

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Użytkownicy multiplatformowego komunikatora Telegram mogli paść ofiarą wyrafinowanego ataku, który posłużył do zainstalowania na ich sprzęcie koparek kryptowalut, a mógł służyć także do instalowania furtek zdalnego dostępu i innych atrakcji. Odkryte przez Kaspersky Lab zagrożenie jest ciekawe z dwóch powodów: pomysłowego użycia znanej sztuczki z językami pisanymi od prawej do lewej, oraz wyboru samej grupy docelowej: Telegram jest bardzo chętnie używany przez fanów przeróżnych kryptowalut.

Znak Unicode U+202E służy do odwrócenia kierunku znaków, jakie po nim nastąpią – tak aby można było osadzić w tekście pisanym alfabetem łacińskim czy cyrylicą słowo pisane np. alfabetem arabskim czy hebrajskim. Jednak już dawno temu cyberprzestępcy zauważyli, że można wykorzystać go do zmodyfikowania sposobu wyświetlania nazwy pliku w oprogramowaniu, które nie jest zabezpieczone przed tym zagrożeniem.

Okazało się, że taka sytuacja występuje w desktopowym kliencie Telegrama. Załóżmy, że napastnik przygotuje wiadomość, w której umieści złośliwy plik JavaScriptu, który otrzyma nazwę photo_high_re*U+202E*gnp.js. Normalnie taki plik skryptowy zostałby rozpoznany jako plik uruchamialny i zablokowany, ale nie w podatnych wersjach Telegrama. Znak zwrotu kierunku sprawia, że ofierze zostanie on przedstawiony jako photo_high_resj.png – ot jakiś niegroźny obrazek.

Kiedy ofiara kliknie plik do pobrania, Windows wyświetli ostrzeżenie o niemożliwości zweryfikowania wydawcy (o ile użytkownicy nie wyłączył takich ostrzeżeń w ustawieniach) – i po kliknięciu Uruchom, uruchomi złośliwy plik.

Ta prosta metoda ataku pozwoliła cyberprzestępcom na masowy atak przeciwko użytkownikom Telegrama. Poprzez uzłośliwiony JavaScript wysyłana była napisana na .NET Frameworka aplikacja pobierania, sterowana bezpośrednio przez telegramowe API za pomocą bota. Po uruchomieniu zmieniała ona wpisy rozruchu systemu w Rejestrze, by zapewnić sobie przetrwanie restartu maszyny, kopiowała swoje pliki wykonywalne w zależne od wersji Windowsa lokalizacje i czekała na polecenia od bota.

Bot do dyspozycji ma kilkanaście komend, pozwalających na pobieranie i rozpakowywanie plików, uruchamianie ich, kasowanie danych, przesyłanie listy aktywnych procesów i zabijanie wskazanych procesów. W ten właśnie sposób pobrane zostały ładunki mające docelowo pracować na komputerach ofiar. Były to nheq.exe, koparka wysoce anonimowej kryptowaluty Zcash, oraz taskmng.exe, koparka całkowicie anonimowych kryptowalut na bazie algorytmu CryptoNight – Monero i Fantomcoin.

Z czasem napastnicy ulepszali swoje skrypty, dodając metody wyłączania zabezpieczeń Windowsa, instalując narzędzia zdalnego dostępu oraz wykradania danych użytkowników, by wgrać je na zdalny serwer.

Wydawca Telegrama już zabezpieczył swój komunikator, najnowsza wersja 1.2.6 jest odporna na sztuczkę z odwróceniem kierunku pisma. Znajdziecie ją w naszej bazie oprogramowania. My ze swojej strony dodamy, że widzieliśmy już kilka tygodni temu takie właśnie udające obrazki PNG pliki JavaScriptu, rozsyłane w telegramowych grupach społeczności związanych z kryptowalutami, obiecujące zawierać sygnały dotyczące opłacalnych inwestycji. No cóż, ofiara zamiast sygnału dostawała koparkę.

© dobreprogramy
reklama
r   e   k   l   a   m   a

Komentarze

reklama
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   
Polecamy w WP TechnologieWP TechnologieW tym kraju nie ma prądu, ale mają za to najgroźniejszych hakerów