俄罗斯黑客利用 Telegram Windows 客户端的零日漏洞近一年时间用特洛伊木马感染用户的 PC。这些攻击的隐藏目标是安装挖矿或间谍软件。在某些情况下,受害者最终可能会被四名矿工扔到他们的机器上。
该缺陷由研究人员于 2017 年 10 月发现卡巴斯基实验室。它与从右到左标记的管理不善(“从右到左标记”或“从右到左覆盖”)有关。这个特殊的 Unicode 字符(编码为“U+202E”)表示后面的字符将从右向左读取。它用于混合西方和东方语言(阿拉伯语、希伯来语)的文本中。问题是,这个字符还允许黑客在文件的性质上误导用户。这种类型的操纵是一个伟大的经典,并且在过去已经被用于广播电子邮件恶意软件。
带有真实恶意软件的假图像
在这种情况下,俄罗斯黑客发布了看起来像图像的文件,但实际上是可执行文件。 Javascript 文件“photo_high_re*U+202E*gnp.js»显示为 PNG 文件“photo_high_resj.png”。如果用户下载此文件并尝试打开它,Windows 会显示一条消息,提醒他们这是一个 Javascript 文件。但由于文件名也出现在 .PNG 中,我们很快就犯了一个错误并单击了“执行”。
一旦黑客迈出第一步,他们就会发起攻击。遇到的场景之一是安装后门,黑客设法通过 Telegram 机器人控制该后门。然后,该后门允许安装其他恶意软件,例如击键记录器。另一种更常见的情况是工作站被挖矿软件感染。安装程序是一个伪装成图像的 SFX 可执行文件。当它运行时,它实际上会显示一个图像,但会偷偷地启动一两个挖掘软件。它还可以下载其他挖矿软件。
接到卡巴斯基实验室的警报后,Telegram 开发人员已对 Windows 版本进行了修复。因此,从右到左的品牌骗局不再可行。受害者主要位于俄罗斯。
