کمیته رکن چهارم – در نسخهی رایانهی رمزنگاریشدهی پیامرسان تلگرام یک آسیبپذیری روز-صفرم کشف شده است که به منظور توزیع بدافزاری که ارزهای مجازی مانند مونرو و ZCash استخراج میکند، مورد بهرهبرداری قرار گرفته است.
این آسیبپذیری تلگرام توسط پژوهشگر امنیتی آزمایشگاه کسپرسکی، اَلکسی فیرش، در ماه اکتبر کشف شد و تنها کاربران ویندوز نرمافزار پیامرسان تلگرام را تحت تاثیر قرار داد.
این آسیبپذیری حداقل از ماه مارس سال ۲۰۱۷ میلادی توسط نفوذگران به طور فعال مورد بهرهبرداری قرار گرفته است، در واقع نفوذگران قربانیان را فریب میدادند تا نرمافزار مخربی را در رایانهی شخصی خود بارگیری کنند که از قدرت پردازندهی آنها برای استخراج ارز مجازی استفاده میکرد و یا به عنوان یک دربپشتی برای نفوذگران عمل میکرد تا دستگاههای آسیبدیده را از راه دور کنترل کند.
چگونه آسیبپذیری تلگرام مورد بهرهبرداری قرار میگیرد
این آسیبپذیری به همان روشی بهرهبرداری میشود که کارخواه ویندوز تلگرام، کاراکتر یونیکد RLO یا همان right-to-left override را مدیریت میکند، RLO برای زبانهای کدگذاری که از راست به چپ نوشته میشوند،مانند زبان عربی یا عبری استفاده میشود.
بنا به گفتهی آزمایشگاه کسپرسکی، نویسندگان این بدافزار از یک کاراکتر یونیکد RLO مخفی در نام پرونده استفاده کردهاند که ترتیب کارکترها را برعکس کرده و در نتیجه نام پرونده را تغییر داده است و آن را برای کاربران تلگرام ارسال کرده است.
زمانی که یک نفوذگر پروندهی جاوا اسکریپتی را در یک پیام برای کاربر تلگرام ارسال میکند، آخرین قسمت نام این پرونده را برعکس میکند و در صفحهی کاربر نمایش میدهد.
بنابراین کاربر تلگرام به جای یک پروندهی جاوا اسکریپت، یک پروندهی تصویری PNG میبیند، و فریب خورده و پروندههای مخرب را بارگیری میکند.
کسپرسکی میگوید: «بنابراین، کاربران بدافزار مخفی را بارگیری کردهاند که بعداً در رایانههای آنها نصب شده است.»
کسپرسکی این آسیبپذیری را به تلگرام گزارش داد و از آن زمان این شرکت آسیبپذیری را در محصولات خود وصله کرده است، همچنین شرکت امنیتی روسی میگوید: «از زمانی که به صورت عمومی منتشر شد، این آسیبپذیری روز-صفرم در محصولات پیامرسان تلگرام مشاهده نشده است.»
نفوذگران برای آلوده کردن رایانههای شخصی با ابزارهای استخراج ارز مجازی از تلگرام استفاده کردهاند
طبق تجزیه و تحلیلها، پژوهشگران کسپرسکی چندین مورد بهرهبرداری از آسیبپذیری روز-صفرم را یافتهاند.
در ابتدا، این آسیبپذیری به طور فعال مورد بهرهبرداری قرار گرفت تا یک بدافزار استخراج ارز مجازی را توزیع کند که از قدرت پردازش رایانهی شخصی قربانی استفاده کند و انواع مختلف ارزهای مجازی از جمله مونرو، ZCash، فانتوم کوین و سایر ارزهای مجازی را استخراج کند.
پژوهشگران با تجزیه و تحلیل کارگزارهای عاملان مخرب، بایگانیهایی را کشف کردند که حاوی یک کش محلی تلگرام است که از قربانیان به سرقت رفته است.
در موارد دیگر، مجرمان سایبری با موفقیت از این آسیبپذیری بهرهبرداری کردند تا یک تروجان دربپشتی را نصب کنند که از رابط برنامهنویسی تلگرام به عنوان یک پروتکل فرمان و کنترل استفاده میکند و به نفوذگران اجازه میدهد به صورت از راه دور به رایانهی قربانی دسترسی پیدا کنند.
این شرکت افزود: «این تروجان پس از نصب، به طور مخفیانه کار میکند و به عاملان مخرب این امکان را میدهد که در شبکه دیده نشوند و دستورات مختلفی از جمله نصب سایر ابزارهای جاسوسی را اجرا کنند.»
فیرش معتقد است که آسیبپذیری روز-صفرم تنها توسط مجرمان سایبری روسی مورد بهرهبرداری قرار گرفته است، مانند همهی بهرهبرداریهایی که در روسیه شناسایی شده است.
بهترین راه برای محافظت از خود در برابر چنین حملاتی این است که پروندهها را از منابع ناشناس و غیرقابل اطمینان بارگیری و باز نکنید.
این شرکت امنیتی همچنین به کاربران توصیه میکند که از به اشتراکگذاری هر گونه اطلاعات شخصی حساس در این برنامهی پیامرسان خودداری کنند و اطمینان حاصل کنند که در سامانههای خود یک نرمافزار ضد بدافزار خوب از یک شرکت معتبر را نصب کردهاند.
منبع : news.asis.io
