Poważny błąd w Telegramie pomagał w instalacji kryptominerów

dodał 13 lutego 2018 o 18:21 w kategorii Wpadki  z tagami:
Poważny błąd w Telegramie pomagał w instalacji kryptominerów

Od kilku lat nastąpił wysyp komunikatorów internetowych. Spora część z nich twierdzi, że ich używanie gwarantuje wyższy poziom bezpieczeństwa. Nie zawsze jednak okazuje się to prawdą, co pokazuje przykład Telegramu.

Signal, Threema, Wire, Telegram, WhatsApp, Wickr, Viber – nie jest trudno pogubić się w gąszczu nowych aplikacji które mają zapewnić bezpieczną komunikację. Żadna nie zdominowała rynku (co nas cieszy), lecz powoduje to, ze chcąc rozmawiać ze znajomymi z branży mamy osobny ekran pełen ikonek różnych komunikatorów. Czasem pytacie nas, z jakiego korzystać lub który jest be. Tak jak od zawsze polecamy Signala, tak od zawsze zniechęcaliśmy do używania Telegramu. Poniżej znajdziecie kolejny powód, by trzymać się od tej aplikacji z daleka.

Atak z archiwum

Badacze firmy Kaspersky dowiedzieli się, że klient Telegrama dla systemu Windows ma poważny błąd. Błąd, który w różnych odmianach znany i wykorzystywany był od wielu, naprawdę wielu lat. Błąd tak popularny, że ponad dwa lata temu użyty był w ataku na użytkowników polskiego forum ToRepublic.

Przestępcy atakujący użytkowników Telegrama użyli  bardzo prostej sztuczki, czyli kodowania „od prawej do lewej”. W nazwie pliku umieszczono specjalny kod sterujący zmieniający kolejność wyświetlania znaków. Znak specjalny RLO (right to left override, U+202e) umożliwia zapisywanie słów np. w języku arabskim. Wstawiony do nazwy pliku wyświetla fragment po nim następujący w odwrotnej kolejności. Zatem na przykład plik zestawieniercs.pdf to tak naprawdę zestawienie[RLO]fdp.scr. Kliknięcie na takim pliku przy próbie wyświetlenia rzekomego dokumentu PDF spowoduje zatem wykonanie pliku SCR, a w konsekwencji instalację złośliwego oprogramowania.

Ku zaskoczeniu badaczy okazało się, że na identyczny atak podatny jest klient Telegrama. Ofiara może zatem zobaczyć na ekranie taki oto komunikat:

Gdy kliknie w załącznik (bo to przecież „obrazek”, cóż złego może się stać?) Windows wyświetli takie pytanie:

Uważny użytkownik zauważy, że nie zgadza się ikona i rozszerzenie pliku (lub typ pliku i rozszerzenie). Ilu jednak znacie uważnych użytkowników? Plik tak naprawdę nazywa się photo_high_re*U+202E*gnp.js i instaluje złośliwe oprogramowanie.

Badacze Kaspersky’ego zidentyfikowali kilka scenariuszy ataku. W jednym z nich ofiara po uruchomieniu pliku JavaScript otrzymywała downloader w NET, który używając C&C opartego o bota Telegrama, a downloader pobierał konia trojańskiego umożliwiającego zdalną kontrolę nad komputerem.

Coraz więcej przestępców rezygnuje jednak z szyfrowania cudzych komputerów lub ich kontrolowania, zamiast tego po prostu kopiąc na nich Monero lubZcash. Tej pokusie nie oparli się także złoczyńcy dysponujący wiedza o podatności w Telegramie – wiele z obserwowanych scenariuszy kończyło się także instalacją programu kopiącego kryptowaluty. Szczegóły scenariuszy ataku znajdziecie we wpisie badaczy.

Podsumowanie

Powodów, dla których nie lubiliśmy Telegrama, było kilka. Przede wszystkim od początku było w nim dużo więcej marketingu niż bezpieczeństwa – między innymi nie szyfrował domyślnie przesyłanych wiadomości, a gdy zaczął szyfrować, to nie było to szyfrowanie „od końca do końca” – czyli posiadacz serwera mógł czytać zawartość komunikacji. Używał (i pewnie nadal używa) swoich własnych algorytmów komunikacji i  szyfrowania – co nie jest dobrym sygnałem. Oprócz tego siał obficie metadanymi – można było na przykład zobaczyć, kiedy konkretny użytkownik jest aktywny. Choć sporo błędów poprawiono, to nie budzi to naszego zaufana, a powyższa historia dodaje kolejny argument, by od Telegrama trzymać się z daleka.