Telegram-app doelwit van cryptomining-malware

Gebruikers van de desktop-versie van Telegram zijn doelwit geweest van malafide software. Na een succesvolle aanval wordt het systeem gebruikt om cryptovaluta zoals monero en zcash te minen. Dat ontdekte Kaspersky Lab. De praktijken vonden plaats sinds maart 2017, maar zijn inmiddels geblokkeerd.

De aanval wordt uitgevoerd met behulp van een zero-day beveiligingslek in de Telegram Desktop-app. Het beveiligingslek werd gebruikt om multifunctionele malware te verzenden. Afhankelijk van de computer wordt die gebruikt als achterdeur of als instrument om mining-software af te leveren.

Het zero-day beveiligingslek was gebaseerd op de right-to-left override (RLO) Unicode-methode. Gewoonlijk wordt die gebruikt voor het coderen van talen die men van rechts naar links schrijft, zoals Arabisch of Hebreeuws. Aanvallers kunnen dit echter ook gebruiken om doelwitten te misleiden zodat zij kwaadaardige bestanden downloaden die bijvoorbeeld zijn vermomd als afbeelding.

Proces

Tijdens het analyseren identificeerden de onderzoekers verschillende ‘in het wild’ zero-day exploitatiescenario’s door dreigingsactors. Om te beginnen werd het beveiligingslek misbruikt voor het afleveren van mining-malware, die behoorlijk schadelijk kan zijn.

Na exploitatie van het beveiligingslek, werd een backdoor geïnstalleerd die de Telegram API als command & control-protocol gebruikte. Zo kregen de hackers op afstand toegang tot de computer. De malware werkte na installatie in stille modus, waardoor de dreigingsactor onopgemerkt bleef in het netwerk en verschillende opdrachten kon uitvoeren. Daaronder valt onder meer verdere installatie van spyware-instrumenten.

Kaspersky lichtte Telegram in oktober in. Het probleem werd in november opgelost. Telegram geeft aan dat het om een vorm van social engineering ging, die alleen werkte als een gebruiker misleid werd om een afbeelding te downloaden.