Daudzfunkciju ļaunprogrammatūras izplatīšanai hakeri izmantojuši ziņapmaiņas lietotnes Telegram iepriekš nezināmu...

Daudzfunkciju ļaunprogrammatūras izplatīšanai hakeri izmantojuši ziņapmaiņas lietotnes Telegram iepriekš nezināmu ievainojamību

2018. gada 15. februārī
Kaspersky Lab pētnieki ir konstatējuši tā dēvētos savvaļas uzbrukumus, ko veic jauna ļaunprogrammatūra, kas izmanto agrāk nezināmu ievainojamību datorlietotnē Telegram. Ievainojamība tika izmantota, lai piegādātu daudzfunkciju ļaunprogrammatūru, ko atkarībā no datora var izmantot par sāndurvīm vai rīku, kas piegādā ieguves programmatūru. Pētījums liecina, ka šī ievainojamība kopš 2017. gada marta tiek aktīvi izmantota kriptonaudas, tostarp Monero, Zcash u. c., ieguves funkcijām.

Sociālie ziņapmaiņas pakalpojumi jau sen ir mūsu pievienotās dzīves svarīga sastāvdaļa, kas ir paredzēta saziņas ar draugiem un ģimeni atvieglošanai. No otras puses, tie var ievērojami sarežģīt situāciju, ja ir cietuši kiberuzbrukumā. Piemēram, pagājušajā mēnesī Kaspersky Lab publicēja pētījuma pārskatu par mobilo ierīču uzlaboto ļaunprogrammatūru, Trojas zirgu Skygofree, kas spēj zagt WhatsApp ziņojumus. Jaunākais pētījums atklāj, ka ekspertiem izdevies identificēt tā dēvētos savvaļas uzbrukumus ar jaunu, iepriekš nezināmu ievainojamību cita populāra tūlītējās ziņapmaiņas pakalpojuma datorversijā.

Pētījumā teikts, ka Telegram iepriekš nezināmā ievainojamība bija balstīta uz pārlabošanas no labās uz kreiso pusi īpašo rakstzīmi unikodā. Parasti to izmanto, lai kodētu valodas, kas tiek rakstītas no labās uz kreiso pusi, piemēram, arābu valoda vai ivrits, tomēr to var izmantot arī ļaunprogrammatūru veidotāji, lai ievilinātu lietotājus lejupielādēt ļaunprātīgas datnes, kas ir nomaskētas, piemēram, par attēliem.

Uzbrucēji izmantoja slēpto unikoda rakstzīmi datnes nosaukumā. Tā mainīja rakstzīmju secību, tādējādi pārdēvējot datni, tāpēc lietotāji lejupielādēja slēpto ļaunprogrammatūru, kas pēc tam tika instalēta viņu datoros. Kaspersky Lab informēja Telegram par ievainojamību, un līdz publikācijai ziņapmaiņas pakalpojuma izstrādājumos šī tā dēvētā nulles dienas kļūda nav novērota.

Analīzes gaitā Kaspersky Lab eksperti saskatīja vairākus veidus, kā apdraudējuma izpildītāji savvaļā izmantoja iepriekš nezināmo ievainojamību. Pirmkārt, šī ievainojamība tika izmantota, lai piegādātu ieguves ļaunprogrammatūru, kas var ievērojami kaitēt lietotājiem. Izmantojot upura datora datošanas jaudu, kibernoziedznieki ir izveidojuši dažādu veidu kriptonaudu, tostarp Monero, Zcash, Fantomcoin un citu. Turklāt, analizējot apdraudējumu izpildītāja serverus, Kaspersky Lab pētnieki atrada arhīvus, kuros bija cietušajiem nozagta Telegram vietējā kešatmiņa.

Otrkārt, pēc ievainojamības sekmīgas izmantošanas tika instalētas sāndurvis, kas par komandvadības protokolu izmantoja Telegram programmsaskarni. Tādējādi hakeri ieguva tālpieeju upura datoram. Pēc instalēšanas tās sāka darboties klusā režīmā, kas ļāva apdraudējuma izpildītājam nepamanītam palikt tīklā un izpildīt dažādas komandas, tostarp turpmāku spiegprogrammatūras rīku instalēšanu.

Pētījuma gaitā atklātie artefakti liecina par kibernoziedznieku krievisko izcelsmi.

«Tūlītējās ziņapmaiņas pakalpojumi ir neiedomājami populāri, tāpēc izstrādātājiem ir ļoti svarīgi nodrošināt to lietotājiem pienācīgu aizsardzību, lai viņi nekļūtu par vieglu mērķi noziedzniekiem. Mēs esam atraduši vairākus šīs nulles dienas ievainojamības izmantošanas veidus: tā tika izmantota gan vispārīgas ļaunprogrammatūras un spiegprogrammatūras, gan ieguves programmatūras piegādei — pēdējā gada laikā esam novērojuši, ka šādas infekcijas ir kļuvušas izplatītas visā pasaulē. Turklāt mēs uzskatām, ka bija arī citi veidi, kā ļaunprātīgi izmantot šo nulles dienas ievainojamību,» sacīja Kaspersky Lab mērķuzbrukumu pētniecības ļaunprogrammatūru analītiķis Aleksejs Firšs.

Kaspersky Lab izstrādājumi pamana un bloķē šīs atklātās ievainojamības izmantošanas gadījumus.

Lai pasargātu datoru no visu veidu infekcijām, Kaspersky Lab iesaka:

  • nelejupielādēt un neatvērt nezināmas datnes no neuzticamiem avotiem;

  • censties izvairīties no jebkādas konfidenciālas personiskās informācijas publicēšanas tūlītējās ziņapmaiņas programmās;

  • instalēt uzticamu drošības risinājumu, piemēram, Kaspersky Internet Security, kas pamana un aizsargā no visiem iespējamajiem apdraudējumiem, tostarp ļaunprātīgām ieguves programmatūrām.

Uzziniet vairāk par atklāto nulles dienas ievainojamību, tostarp tehnisko informāciju, mūsu rakstā vietnē Securelist.com.

Par Kaspersky Lab

Kaspersky Lab ir starptautisks uzņēmums, kas jau 20 gadus strādā informācijas drošības jomā. Dziļas speciālās zināšanas un uzņēmuma divdesmit gadu pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, izšķirīgi svarīgas infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky Lab plašais piedāvājumu klāsts ietver progresīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky Lab tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 270 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.

Papildu informācija

[u]www.kaspersky.com[/u]

Papildu informācija par risinājumiem Latvijā ir pieejama izplatītāja vietnē [u]kaspersky.lv[/u].

Kaspersky Lab
Par šo rakstu nav saņemts neviens komentārs.
Pievienot komentāru
Vārds:
e-pasts:



Aktuālās ziņas

virtuves mēbeles
apdrošināšana  octa  kasko  kasko apdrošināšana