English
Специалисты "Лаборатории Касперского" сообщили об обнаружении уязвимости нулевого дня в одном из наиболее популярных мессенджеров - Telegram. Сообщается, что злоумышленники использовали эту брешь для заражения компьютеров жертв как минимум с марта 2017 года.
Уязвимость была обнаружена в клиенте Telegram для Windows. Известно, что злоумышленники использовали её для установки ПО для майнинга, а также получения контроля над системой жертвы. Найденная брешь позволяла им использовать классическую модель атаки right-to-left override. Она заключается в отправке жертве файлов со специальным непечатаемым символом - RLO в названии, который зеркально отражает порядок знаков, следующих за ним. RLO представлен в таблице Unicode как "U+202E". Обычно, он используется при письме, к примеру, на арабском языке или на иврите.
Злоумышленники же используют его иначе. В ходе атак, они рассылали вредоносные JS-файлы с названием, к примеру photo_high_re*U+202E*gnp.js. В таком случае, получатель увидит название photo_high_resj.png и решит, что ему отправлено обычное изображение и, при попытке его просмотра, самостоятельно запустит вредоносный исполняемый файл.
Специалисты "Лаборатории Касперского" уже уведомили разработчиков Telegram о своей находке. На сегодняшний день, уязвимость уже закрыта. Исследователи также поделились любопытным наблюдением: все обнаруженные случаи эксплуатации бреши в Telegram происходили в России. Это может означать, что о ней было известно только злоумышленникам из нашей страны.