俄罗斯黑客利用Telegram Zero-Day漏洞传播恶意软件

卡巴斯基实验室的信息安全研究员Alexey Firsh发现一个野生的Telegram Windows桌面版的零时差弱点利用。

不过有个坏消息，这个Telegram的零时差漏洞已经被威胁实体在野外利用来散播Monero与ZCash数字货币的挖掘程序。

根据专家表示，黑客至少从2017年3月就开始利用这个弱点。攻击者驱使受害者下载数字货币的挖掘程序或启动后门。

专家的分析：『在2017年10月，我们发现到Telegram通讯软件的Windows客户端程序有个弱点被利用在野外的攻击。这涉及到用户透过通讯服务发送档案时使用经典的RTLO攻击。』

这个漏洞与Telegram的Windows客户端处理RLO（右至左翻转）Unicode字符（U+202E）有关，使用任何语系都可以使用由右至左写入模式，像是阿拉伯语系与希伯来文。

攻击者使用隐藏的RLO Unicode字符在文件名中将字符顺序颠倒，这样的方式可以使得档名被重新命名。在一个实际的攻击场景中，黑客传送档案给目标收件人。

这些诈骗份子建立一段恶意代码并透过通讯软件传送，假设是个JS档，会以下面方式重新命名：

evil.js -> photo_high_re*U+202E*gnp.js (— *U+202E* is the RLO 字符)

包含在文件名中的RLO字符被攻击者用来反转显示字符串gnp.js，伪装档案是js，欺骗受害者使其相信它是一个无害的.png影像。

当用户点击该档案时，如果系统设定中未禁用安全通知，则Windows会显示该通知。(此时若能提防并不继续执行则可避开攻击)

如果使用者忽略通知并点击『Run』，则会执行恶意代码。

专家向该公司回报了这个零时差弱点，该公司立即修复了该漏洞。

卡巴斯基发布的分析文章中提到：『卡巴斯基实验室回报了Telegram漏洞，并且在发布时，messenger中还没有观察到这个零时差漏洞。』

『在分析过程中，卡巴斯基实验室专家确定了威胁实体在野外利用的几种情景。』

对攻击者使用的服务器的分析表明存在包含Telegram本地快取的档案，这意味着威胁实体利用这个漏洞窃取受害者的数据。

在另一种攻击场景中，诈骗份子触发了这个漏洞，安装一个利用Telegram API作为命令和控制机制的恶意软件。

分析文章中继续提到：『其次，在成功利用该漏洞后，安装了一个使用Telegram API作为命令和控制协议的后门，导致黑客获得对受害者计算机的远程访问权限。安装完成后，它开始以静悄悄的模式运作，这样可以让威胁实体在网络中不被注意，并执行不同的命令，包括进一步安装间谍软件工具。』

据研究人员称，这个漏洞只在俄罗斯犯罪份子中知道，并非由其他诈骗份子触发。

为了防御攻击，请仅从受信任的发件人那边下载并开启档案。

该资安公司还建议用户避免在通讯应用程序中共享任何敏感的个人信息，并确保在系统上安装可靠公司的良好防病毒软件。