Взлом с помощью веселой картинки: как в Telegram оказался вирус для майнинга критовалют

«Лаборатория Касперского» обнаружила новую возможность для кибератак на Telegram для Windows. Уязвимость позволяет хакерам получить доступ к файлам пользователя и майнить криптовалюту, с помощью вычислительных мощностей компьютера. Жертвами мошенников могли стать около тысячи россиян. «360» разбирался, как вирус‐майнер проникал в ноутбуки, планшеты и персональные компьютеры граждан.

Специалисты лаборатории нашли уязвимость в мессенджере Telegram. Брешь в защите использовалась хакерами для заражения пользователей версии приложения для Windows и распространения ПО для майнинга. Об этом говорится на страницах официального блога «Лаборатории Касперского». По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносные программы. В данный момент уязвимость уже закрыта, утверждают создатели мессенджера.

«Популярность мессенджеров сегодня невероятно высока. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода „криптовалютного бума“. Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — приводит РИА «Новости» комментарий антивирусного эксперта компании Алексея Фирша.

Запуская вирус, хакеры преследовали несколько целей. Во-первых, используя уязвимость, преступники устанавливали бэкдор, который позволяет получить удаленный доступ к зараженному ноутбуку или планшету. После установки бэкдор работал в скрытом режиме, а пользователь не мог его засечь. При этом он выполнял различные команды хакеров, такие как установка шпионского оборудования и сбор персональных данных владельца компьютера.

Помимо копирования файлов вирус занимался и майнингом криптовалют, используя вычислительные мощности компьютера. С помощью скрытого вируса-майнера злоумышленники добывали такие популярные монеты, как Monero, Zcash и Fantomcoin. Жертвами кибератаки могли стать около тысячи россиян, подсчитали специалисты «Лаборатории Касперского».

Примечательно, что случай с Telegram не первый в истории майнинговых кибератак. Накануне основатель сайта securityheaders.io и исследователь в области кибербезопасности Скотт Хельм опубликовал расследование на тему того, как хакеры майнят, используя мощности правительств различных стран. Согласно этому отчету, в течение всего 2017 года более четырех тысяч правительственных сайтов США, Австралии и Великобритании оказались заражены скриптами, позволяющими использовать оборудование в целях майнинга криптовалюты Monero.

Вирус вместо картинки

Для отправки вируса через Telegram киберпреступники использовали так называемую атаку right-to-left override (RLO). RLO представляет собой особый печатный символ кодировки Unicode. Этот механизм кодировки зеркально отражает направление знаков. Он используется программистами в текстах, воспроизводимых справа налево, например, на арабском или иврите.

Хакеры использовали RLO, чтобы поменять порядок символов в названии файла и его расширение, объясняет в разговоре с «360» заместитель руководителя лаборатории по компьютерной криминалистике Group IB Сергей Никитин. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения или картинки. Затем пользователи сами запускали его, не подозревая, что впустили в компьютер шпионский вирус. «Атака подобного типа не нова — она используется хакерами уже на протяжении десяти лет. Она заключается в том, что мошенники переименовывают файл, зеркально меняя название для того, чтобы Telegram принял вирус за картинку. При этом пользователь сам может понять, что скачал вирус, так как вместо картинки там появится диалоговое окно, которое попросит запустить дополнительные файлы», — рассказывает собеседник «360».

Для приложения, которое позиционирует себя в качестве самого безопасного в мире мессенждера, такие ошибки непростительны, считает основатель компании DriverPack Solution Артур Кузяков.  «Сегодня не существует на 100% защищенных от вирусов приложений, но в случае с Telegram пользователи были уверены, что все их данные зашифрованы и конфиденциальны. Из-за ошибок разработчиков приложения вся персональная информация и личная переписка россиян, чьи компьютеры были взломаны, оказалась в руках хакеров, что для мессенджера такого уровня неприемлемо», — заявил Кузяков «360».

Внимательность и обновление антивируса

Для того чтобы обезопасить себя от кибератак пользователь должен внимательно ко всем сообщениям не только в мессенджерах, но и в электронной почте и SMS-оповещениях, отметил в беседе с редакцией «360» руководитель аналитического центра компании Zecurion Владимир Ульянов.

Если вам приходит сообщение от неизвестного пользователя, то не стоит его читать. Также категорически запрещено переходить по ссылкам от незнакомого отправителя, запускать исполняемые файлы и мультимедийные приложения. Нужно помнить, что антивирус не защищает на 100% от всех опасностей

— Владимир Ульянов.

Эксперт подчеркнул, что скачивать обновление антивируса и другие приложения на компьютер и другие устройства нужно только с официальных сайтов-разработчиков программ. «Массовые прошлогодние атаки вирусов-вымогателей Wanna Cry и Petya показали, что вирус попадал только в те компьютеры, в которых стояли старые антивирусы, а система давно не обновлялась», — замечает Ульянов.

С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск вирусов-похитителей. При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).