Zero-Day-Exploit im Telegram-Messenger verbreitet Malware

[English]Nutzer des Windows-Clients für den Messenger-Dienst Telegram sind möglicherweise mit einem Miner infiziert, der Monero- und Zcash-Krypto-Geld schürft.


Anzeige

Malware-Autoren haben eine Zero-Day-Schwachstelle im Windows-Client für den Telegram Instant Messaging-Dienst genutzt, um Benutzer mit kryptographischer Malware zu infizieren, wie Forscher von Kaspersky Lab heute bekannt geben wollen. [Update: Kaspersky hat die Information inzwischen hier veröffentlicht. Auf Securelist finden sich inzwischen Details.] Das berichtet Bleeping Computer hier unter Berufung auf Vorabinformationen von Kaspersky.

Info von Kaspersky

Die Zero-Day-Lücke wurde inzwischen zwar geschlossen. Aber der Kaspersky-Forscher Alexey Firsh sagt, dass die Cyber-Kriminellen die Sicherheitslücke offenbar monatelang benutzt haben, bevor er ihn im Oktober letzten Jahres entdeckte.

Laut Firsh steckt die Zero-Day-Sicherheitslücke in der Implementierung der Art und Weise, wie der Telegramm-Windows-Client das RLO (right-to-left override) Unicode-Zeichen handhabt. Mit diesem Zeichen wird zwischen RTL- und LTR-Textanzeige umgeschaltet.

Maskiertes Bild mit JavaScript

Firsh sagt, dass Kriminellen Telegrammbenutzer mit Spam-Nachrichten, die Dateianhänge enthalten, austricksen. Die Dateinamen enthalten das RLO-Zeichen, das die Textausgaberichtung direkt in der Mitte des Dateinamens änderte. Beispielsweise schickten die Kriminellen den Benutzern in einer Kampagne eine Datei mit dem Namen “photo_high_re*U+202E*gnp.js”, wobei *U+202E* das RLO-Zeichen ist.

Wenn der Dateiname auf dem Bildschirm dargestellt wurde, wurde der letzte Teil des Namens umgedreht und die Datei erschien als “photo_high_resj.png” (siehe Screenshot)

Nachricht mit Anhang(Quelle: Bleeping Computer)

Wollten die Benutzer die Datei öffnen, führten sie, statt das vermeintliche Bild zu laden, eine JavaScript-Datei aus. Diese begann Malware herunterzugeladen und auf dem System zu installieren.

Krypto-Miner und mehr verteilt


Werbung

In den Kampagnen, die Firsh aufspüren konnte, nutzten die Gauner die Telegramm Zero-Day-Lücke, um Malware zu installieren, die heimlich Krypto-Geld auf den Computern der Benutzer schürft. Aktuell wurden Monero, Zcash und Fantomcoin geschürft.

Frish entdeckte auch Fälle, in denen Kriminellen einen Backdoor-Trojaner (steuerbar über die Telegramm-API) und andere Spyware-Tools installierten. Aber in den meisten Fällen konzentrierten sich die Malware-Autoren auf die Bereitstellung von Crypto-Mining-Malware.

Kommt aus Russland

Die Zero-Day-Schwachstelle ist nicht wirklich innovativ und basiert auf einem alten Trick, der seit mindestens einem halben Jahrzehnt bekannt ist und erstmals in einem F-Secure-Bericht aus dem Jahr 2013 beschrieben wurde.

Laut Firsh war der Zero-Day nur begrenzt nutzbar und wurde nur von einem russischen Malware-Autor benutzt. “Es scheint, dass nur russische Cyberkriminelle von dieser Verwundbarkeit wussten, mit all den Betrugsfällen, die wir in Russland entdeckt haben”, schreib Firsh in einem Bericht, der Bleeping Computer vor der Veröffentlichung zur Verfügung gestellt wurde.

“Auch bei der Durchführung einer detaillierten Untersuchung dieser Angriffe entdeckten wir eine Menge Artefakte, die auf die Beteiligung russischer Cyberkrimineller hindeuteten,” sagte der Experte.

“Wir haben keine genauen Informationen darüber, wie lange und welche Versionen der Telegrammprodukte von der Sicherheitslücke betroffen waren”, fügte Firsh hinzu. “Was wir wissen, ist, dass die Nutzung in Windows-Clients im März 2017 begann.”


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Zero-Day-Exploit im Telegram-Messenger verbreitet Malware

  1. Frank Renz sagt:

    Wie kann man denn feststellen, ob man von dieser Malware betroffen ist? Erkennt der Defender bereits die Malware? Vielleicht hat jemand oder Günter darauf eine Antwort

    • Günter Born sagt:

      In obigem Beitrag hatte ich auf den Kaspersky-Beitrag auf Securelist verlinkt. Dort sind konkrete Hinweise auf die Dateien und Registrierungseinträgen, die bei Angriffen verwendet werden. Ich schätze, dass Kaspersky diese Dateien in den Signaturdateien erkennt und eliminiert.

    • Eddy Current sagt:

      Im Gegensatz zu Virenscannern, die solche Schädlinge regelmässig nicht erkennen und somit keinen wirksamen Schutz bieten (können), verhindern Schutzmassnahmen mit Windows-Bordmitteln (siehe https://skanthak.homepage.t-online.de/SAFER.html) die Ausführung solcher Schädlinge zuverlässig und neutralisieren damit auch 0-days.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.