Через уязвимость в Telegram для Windows хакеры майнили криптовалюту

По словам программистов, современные хакеры могут получать доступ к файлам граждан, и с помощью вычислительных мощностей их компьютеров майнить себе криптовалюту. Об этом информирует телеканал «360».

В «Лаборатории Касперского» считают, что жертвами киберпреступников могли стать порядка 1 000 граждан России. Корреспонденты издания выяснили, каким образом новый вирус-майнер проникал в планшеты, ноутбуки и компьютеры россиян.

В официальном блоге «Лаборатории Касперского» рассказывается, что мошенники нашли уязвимость в Telegram для Windows. Хакеры запускали в гаджеты своих жертв программное обеспечение для майнинга. Брешь в защите Telegram киберпреступники обнаружили несколько месяцев назад. А вирус они начали распространять не позже марта прошлого года. Создатели Telegram уже заявили об устранении уязвимости.

По словам антивирусного эксперта «Лаборатории Касперского» Алексея Фирша, мессенджеры продолжают набирать популярность в мире. Эксперты компании обнаружили сразу несколько сценариев, по которым хакеры распространяли как шпионское программное обеспечение, так и майнинговое. Последнее стало «глобальным трендом» после начала «криптовалютного бума». Вполне возможно, что киберпреступники задействовали и более таргетированные сценарии использования данной уязвимости.

При запуске вируса хакеры добивались выполнения сразу нескольких задач. Они устанавливали бэкдор и получали удаленный доступ к зараженному гаджету жертвы. Работа бэкдора велась в скрытном режиме. Пользователь ничего о нем не знал. Киберпреступники получали возможность установить на зараженный компьютер шпионские программы, которые собирали личные сведения о его владельце.

Кроме копирования файлов вирус начинал добывать криптовалюту для хакера. Для этого программа использовала мощности гаджета, который ей заразили. Чаще всего вирус майнил цифровые деньги Monero, Zcash и Fantomcoin.

Примечательно, что киберпреступники не всегда совершали майнинговые атаки через мессенджеры. Так основатель сайта securityheaders.io Скотт Хельм обнародовал результаты своего расследования на тему майнинга с использованием мощностей правительств различных государств. Как выяснилось, только за прошлый год зараженными скриптами для использования чужого оборудования с целью добычи криптовалюты Monero оказались свыше 4 000 правительственных сайтов США, Австралии и Великобритании.

Что касается Telegram, то тут хакеры использовали атаку right-to-left override (RLO). RLO — это особый печатный символ кодировки Unicode. Данный механизм кодировки зеркально отражает направление знаков. Программисты используют его в текстах, которые воспроизводятся справа налево (арабский, иврит).

С помощью RLO киберпреступники меняли порядки символов в названиях файлов и их расширениях. Жертвы хакеров скачивали вирус, например, под видом картинки, рассказал глава лаборатории по компьютерной криминалистике Group IB Сергей Никитин. Вредоносный софт запускался скрытно. Такой способ мошенники используют на протяжении последних 10 лет. Хакеры переименовывают файл, зеркально меняя название. В итоге Telegram принимает вирус за изображение.

Глава аналитического центра компании Zecurion Владимир Ульянов призывает пользователей быть предельно внимательными во время работы с мессенджерами, электронной почтой и SMS-оповещениями. Нельзя переходить по ссылкам, а также принимать и читать сообщения, присланные неизвестным отправителем. То же самое относится к запуску сомнительных файлов и мультимедийных приложений.

Необходимо помнить, что антивирусы не гарантируют 100% безопасности. Защиту нужно постоянно обновлять. Делать это необходимо только с официальных сайтов-разработчиков программ, подытожил Ульянов.