0-day уязвимость в Telegram используется для заражения пользователей

Олег Иванов 13 Февраля 2018 - 12:53

...

0-day уязвимость в Telegram используется для заражения пользователей

Исследователи «Лаборатории Касперского» обнаружили случаи эксплуатации уязвимости в клиенте мессенджера Telegram для Windows. По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносное ПО. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта.

Уязвимость заключалась в использовании так называемой атаки right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков. Обычно он используется при работе с языками, в которых текст идет справа налево, например, с арабским языком или ивритом. Однако злоумышленники могут его использовать для того, чтобы вводить в заблуждение пользователей: RLO меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл.

Эксперты «Лаборатории Касперского» определили несколько целей злоумышленников. Для достижения первой киберпреступники использовали уязвимость для доставки бэкдора. В результате хакеры получали удаленный доступ к компьютеру жертвы. В качестве командного протокола ПО использовало Telegram API. После установки бэкдор работал в скрытом режиме, ничем не обнаруживая себя. При этом он выполнял различные команды злоумышленников, включая дальнейшую установку шпионского ПО.

Вторая цель — уязвимость эксплуатировалась для распространения ПО для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали различные криптовалюты, такие как Monero, Zcash, Fantomcoin и другие.

Кроме того, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них, кроме исполняемых и служебных файлов приложения, содержал в зашифрованном виде различные материалы пользователя, задействованные в переписке: документы, аудио- и видеозаписи, фотографии.

Артефакты, обнаруженные исследователями, позволяют предположить русскоязычное происхождение преступников. По нашим данным, все случаи эксплуатации уязвимости были зафиксированы в России.

«Популярность мессенджеров сегодня невероятно высока. Поэтому разработчикам очень важно обеспечивать надежную защиту пользователей, чтобы те не стали легкой мишенью для преступников. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — отметил Алексей Фирш, антивирусный эксперт «Лаборатории Касперского».

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!