Schwachstelle in der Desktop-Version des Messengers Telegram
Bereits heute sind Messenger-Dienste unter deutschen Jugendlichen die häufigste Kontaktform zu Freunden. Welche Folgen ein Cyberangriff auf Messenger haben kann, zeigte der von Kaspersky Lab unlängst enttarnte mobile Spyware-Trojaner Skygofree , der in der Lage war, WhatsApp-Mitteilungen abzufangen. Nun haben die Kaspersky-Experten eine weitere, bislang unbekannte Schwachstelle in der Desktop-Version des Messengers Telegram ausfindig gemacht. Die Sicherheitslücke wird bereits für Angriffe „in the wild“ ausgenutzt.
Zero-Day-Schwachstelle mit gravierenden Folgen
Die Zero-Day-Schwachstelle basiert auf der RLO (right-to-left override) Unicode-Methode. Diese Methode wird normalerweise bei Sprachen wie Arabisch oder Hebräisch, die von rechts nach links geschrieben werden, genutzt. Malware-Entwickler nutzen dies auch, um Anwender zum Download schädlicher Dateien zu verleiten, die zum Beispiel als Bilddateien getarnt werden.
Über ein verborgenes Unicode-Zeichen im Dateinamen verdrehten die Angreifer die Reihenfolge der Zeichen und gaben so der Datei einen neuen Namen. Letztlich führte das zum Download verborgener Malware, welche anschließend auf dem Rechner installiert wurde. Kaspersky Lab hat Telegram über die Schwachstelle informiert. Seitdem wurde die Lücke in den Messenger-Produkten bis zum Zeitpunkt dieser Veröffentlichung nicht mehr entdeckt.
Die Experten von Kaspersky Lab stellten im Zuge ihrer Analyse fest, dass die Zero-Day-Schwachstelle von den Bedrohungsakteuren „in the wild“ ausgenutzt wurde. Zum einen wurden die Betroffenen durch eine Mining-Malware geschädigt. Denn mit der Rechnerleistung der befallenen PCs konnten die Cyberkriminellen Einheiten von verschiedenen Kryptowährungen wie Monero, Zcash und Fantomcoin minen. Außerdem stellten die Cybersicherheitsexperten bei der Untersuchung der Server eines Bedrohungsakteurs fest, dass auch der lokale Telegram-Cache von den Rechnern der Opfer gestohlen wurde.
Zum anderen wurde nach Befall eine Backdoor installiert, welche die Programmierschnittstelle (API) von Telegram als Command-and-Control-Protokoll verwendete. Damit bekamen Hacker Fernzugriff auf die Rechner ihrer Opfer. Die Malware agierte nach ihrer Installation unbemerkt, so dass der Bedrohungsakteur im Netzwerk nicht identifiziert wurde und verschiedene Kommandos ausführen konnte – unter anderem zur Installation weiterer Spyware-Tools.
Bei der Untersuchung wurden Artefakte gefunden, die auf einen russischen Hintergrund der Cyberkriminellen schließen lassen.
Kaspersky Lab: Sicherheitstipps
Die Sicherheitslösungen von Kaspersky Lab verhindern das Ausnutzen der entdeckten Schwachstelle. Zum Schutz von PCs vor Infektionen aller Art, werden die folgenden Maßnahmen empfohlen:
- keine unbekannten Dateien von unbekannten Quellen downloaden oder öffnen;
- möglichst keine vertraulichen Daten über Instant Messenger teilen;
- eine zuverlässige Sicherheitslösung installieren, wie etwa Kaspersky Internet Security. So werden Cybergefahren aller Art erkannt und geblockt – inklusive Schutz vor schädlicher Mining-Software.
