Tin tặc lợi dụng lỗ hổng Zero-day trên Telegram để phát tán mã độc

By | 10:26 am | 27/02/2018

telegram-vulnerability

Một lỗ hổng zero-day mới được phát hiện trên phiên bản desktop của ứng dụng nhắn tin Telegram được dùng để phát tán mã độc đào tiền ảo như Monero và ZCash.

Lỗ hổng trên Telegram được phát hiện bởi Alexay Firsh, nhà nghiên cứu tại Kaspersky Lab, vào cuối tháng 10 và chỉ ảnh hưởng đến người dùng Telegram trên Windows.

Lỗ hổng đã được khai thác từ tháng 3/2017 bằng cách lừa nạn nhân tải về phần mềm độc hại sử dụng tài nguyên trên máy nạn nhân để đào các đồng tiền ảo hoặc đóng vai trò như backdoor, cho phép kẻ tấn công điều khiển máy tính từ xa, theo báo cáo trên trang Securelist.

Lỗ hổng hoạt động như thế nào?

Lỗ hổng tồn tại trong cách mà Telegram Windows client xử lý ký tự Unicode RLO (right-to-left override), được dùng cho các ngôn ngữ được viết từ phải sang trái, như tiếng Ả Rập hoặc tiếng Do Thái.

Theo Kaspersky Lab, kẻ tấn công sử dụng ký tự Unicode RLO ẩn trong tên file để đảo ngược thứ tự chữ cái, từ đó đổi tên file, và gửi cho người dùng Telegram.

Ví dụ, kẻ tấn công gửi một file Java script có tên “photo_high_re*U+202E*gnp.js” tới một người dùng. Ký tự RLO *U+202E* làm cho Telegram đảo ngược phần “gnp.js” thành “sj.png”. Quá trình này chỉ đổi tên file chứ không thay đổi file thực sự.

  • Kẻ tấn công gửi file JS và người dùng nhìn thấy file PNG:

180212-telegram-vulnerability-1

  • Khi người dùng click vào file, thông báo của Windows hiện lên:

180212-telegram-vulnerability-2

Nếu người dùng click Run, mã độc sẽ được thực thi.

Lợi dụng Telegram để đào tiền ảo

Trong quá trình phân tích, các nhà nghiên cứu Kaspersky đã tìm ra một số kịch bản khai thác lỗ hổng này. Chủ yếu, lỗ hổng được khai thác để phát tán mã độc đào tiền ảo, sử dụng tài nguyên máy tính nạn nhân để đào các loại tiền khác nhau như Monero, ZCash, Fantomcoin,…

Khi phân tích các máy chủ của mã độc, các nhà nghiên cứu cũng tìm thấy bộ nhớ đệm của Telegram bị đánh cắp.

Trong một trường hợp khác, tin tặc đã khai thác thành công lỗ hổng, từ đó cài đặt backdoor trojan sử dụng Telegram API như một giao thức C&C, cho phép kẻ tấn công lấy được quyền truy nhập từ xa trên máy tính nạn nhân.

Ông Firsh tin rằng lỗ hổng zero-day mới chỉ được khai thác bởi các tội phạm mạng Nga, bởi “hầu hết các vụ việc được phát hiện đều xảy ra ở Nga,” và nhiều bằng chứng trỏ tới các tội phạm mạng này.

Cách tốt nhất để bảo vệ bản thân khỏi các cuộc tấn công này là không tải về hoặc mở các file từ các nguồn không tin cậy.

Công ty bảo mật cũng khuyến nghị người dùng tránh chia sẻ các thông tin cá nhân nhạy cảm qua các ứng dụng nhắn tin và đảm bảo rẳng các phần mềm diệt virus tin cậy được cài đặt trên hệ thống.

Theo: thehackernews.com