Kaspersky Lab, la société russe de cybersécurité

Il y avait un rapport par que les attaquants avaient découvert une porte dérobée exposée dans Telegram Messenger, cette vulnérabilité a aidé les attaquants inconnus des propriétaires à transformer les ordinateurs en mineurs de crypto-monnaie.

Ces opérations clandestines de minage de crypto-monnaies duraient depuis mars 2017, a rapporté Kaspersky Labs, l'entreprise qui a découvert et exposé les cyberattaques. Kaspersky a également déclaré qu'une vulnérabilité zero-day dans l'application de bureau Telegram Messenger donnait aux attaquants la possibilité de créer et de diffuser un type de malware jamais vu auparavant qui pourrait créer un cheval de Troie de porte dérobée et également exploiter une crypto-monnaie.

Un analyste du laboratoire Kaspersky a déclaré avoir trouvé un certain nombre d'actions possibles de l'exploitation zero-day qui, en plus d'être des logiciels espions et malveillants, pourrait également envoyer des logiciels inconnus et invisibles pour l'extraction de crypto-monnaie, et que de telles infections étaient devenues un phénomène mondial.

Voici un petit aperçu du fonctionnement de la vulnérabilité Telegram; il existe un moyen pour le client Telegram Windows de gérer le caractère Unicode RLO (remplacement de droite à gauche) (U + 202E), dans ce processus réside la vulnérabilité. Cependant, ce caractère RLO Unicode est la façon dont les langues sont écrites de droite à gauche (comme l'hébreu ou l'arabe) sont codées. Le rapport de Kaspersky indique qu'un caractère Unicode RLO caché contenu dans le nom de fichier qui a inversé la façon dont les caractères ont été ordonnés, donnant ainsi au fichier un nouveau nom, c'est ainsi que les créateurs de logiciels malveillants ont eu accès aux ordinateurs. Comme dans cet exemple, un attaquant nomme un fichier « IMG_high_re*U+202E*gnp.js » et l'envoie à quelqu'un utilisant le messager Telegram, le fichier vu à la fin de l'utilisateur sera "IMG_high_resj.png" (notez comment un retournement s'est produit au format de fichier), l'utilisateur clique alors sur le fichier pensant qu'il s'agit d'un fichier image, alors un fichier JavaScript contenant le malware serait secrètement téléchargé.

Fondateur de Télégramme

Cependant, le fondateur de l'application Telegram n'a pas perdu de temps à minimiser les allégations. Il est d'avis que les éditeurs d'antivirus font toujours le maximum pour étirer la gravité de leurs résultats, juste pour exciter le public, et en tant que tel, ne doit pas être pris au sérieux. Il a également repoussé l'affirmation de Kaspersky en expliquant que ce qu'ils ont découvert n'était en rien une vulnérabilité de l'application de messagerie Telegram, et aussi qu'il n'y avait aucun moyen pour les cybercriminels d'accéder aux ordinateurs des utilisateurs sans que les utilisateurs n'ouvrent quelque chose de malveillant. Il a en outre assuré aux utilisateurs de Telegram qu'ils étaient en sécurité et avaient toujours été en sécurité.

Selon Kaspersky, Fantomcoin, Monero, Zcash et d'autres crypto-monnaies ont été acquis, et selon les preuves qu'ils avaient, Les Russes étaient derrière le malware, et aussi qu'il pourrait être utilisé comme porte dérobée pour que les pirates informatiques accèdent et contrôlent silencieusement les ordinateurs des utilisateurs. Les enregistrements d'un cache local de Telegram qui a très probablement été volé aux victimes ont été trouvés lors de l'analyse des serveurs malveillants.

Un moyen sûr de se prémunir contre de telles attaques est d'éviter de télécharger et d'ouvrir des fichiers suspects provenant de sources non fiables et inconnues, car ce fichier suspect pourrait être un portail d'attaques.