«Лаборатория Касперского» обнаружила уязвимость нулевого дня в мессенджере Telegram, которая использовалась хакерами для заражения пользователей версии приложения для Windows и распространения ПО для майнинга. Об этом говорится в сообщении компании, поступившем в редакцию.
«По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года. «Лаборатория Касперского» уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта», — утверждают специалисты. Все случаи эксплуатации уязвимости ПО были зафиксированы в России.
Хакеры использовали так называемую атаку right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков и используется в текстах, воспроизводимых справа налево, например, на арабском или иврите. В таблице Unicode символ представлен кодом ‘U+202E’.
Хакеры использовали RLO, чтобы поменять порядок символов в названии файла и его расширение. Таким образом жертвы атаки скачивали из мессенджера вредоносное или шпионское ПО с измененным расширением, считая, что загружают изображения, аудиозаписи или видео. И сами же запускали его, даже не подозревая, что это исполняемый файл окажется вирусным. В качестве командного протокола ПО использовало Telegram API.
