黑客利用“电报信使”零日漏洞传播恶意软件

卡巴斯基实验室的安全研究员Alexey Firsh去年10月发现了该电报漏洞，该漏洞仅影响电报消息软件的Windows客户端。

据Securelist上的一篇博文称，至少从2017年3月起，攻击者就开始在野外积极利用该漏洞，诱骗受害者将恶意软件下载到他们的电脑上，这些电脑利用其CPU能力挖掘加密货币，或充当攻击者远程控制受影响机器的后门。

以下是电报漏洞的工作原理

该漏洞存在于Telegram Windows客户端处理RLO（从右到左覆盖）Unicode字符（U+202E）的方式中，该字符用于编码从右到左书写的语言，如阿拉伯语或希伯来语。

据卡巴斯基实验室称，恶意软件创建者在文件名中使用了一个隐藏的RLO Unicode字符，颠倒了字符顺序，从而重命名了文件本身，并将其发送给电报用户。

例如，当攻击者向电报用户发送消息中名为“photo_high_re*U+202E*gnp.js”的文件时，用户屏幕上呈现的文件名会翻转最后一部分。

因此，电报用户将看到传入的PNG图像文件（如下图所示），而不是JavaScript文件，从而误导用户下载伪装成图像的恶意文件。

“结果，用户下载了隐藏的恶意软件，然后安装在他们的电脑上，”卡巴斯基在今天发布的新闻稿中说。

卡巴斯基实验室报告了Telegram的漏洞，该公司随后修补了其产品中的漏洞，正如这家俄罗斯安全公司所说：“在发布时，messenger的产品中没有发现零日漏洞。”

黑客利用电报用加密货币感染个人电脑

在分析过程中，卡巴斯基的研究人员发现了几种由威胁行为者在野外进行零日剥削的场景。主要是，该漏洞被积极利用来交付加密货币挖掘恶意软件，该软件利用受害者的PC计算能力来挖掘不同类型的加密货币，包括Monero、Zcash、Fantomcoin等。

在分析恶意参与者的服务器时，研究人员还发现了包含从受害者那里窃取的电报本地缓存的档案。

在另一起案件中，网络犯罪分子成功利用该漏洞安装了一个后门特洛伊木马，该木马将Telegram API用作命令和控制协议，允许黑客远程访问受害者的计算机。

该公司补充说：“安装后，它开始以静默模式运行，这使得威胁参与者在网络中保持不被注意，并执行不同的命令，包括进一步安装间谍软件工具。”。

Firsh认为，零日漏洞只被俄罗斯网络罪犯利用，因为“研究人员发现的所有利用案例都发生在俄罗斯”，而且很多文物都指向俄罗斯网络罪犯。

保护自己免受此类攻击的最佳方法是不要下载或打开未知或不受信任来源的文件。

该安全公司还建议用户避免在消息应用程序中共享任何敏感的个人信息，并确保在您的系统上安装可靠公司提供的良好防病毒软件。