Исследователи «Лаборатории Касперского» сообщили об уязвимости нулевого дня в Windows-клиенте популярного мессенджера Telegram. Первые атаки, эксплуатирующие уязвимость, были зафиксированы еще в марте минувшего года. Эти атаки использовали принцип right-to-left override (RLO) при отправке файлов. В таблице Unicode существует непечатный (скрытый) символ U+202E, который служит для изменения порядка следующих за ним в строке знаков на противоположный. Он используется для языков с письмом справа налево, однако злоумышленники нашли ему другое применение.
Скажем, вредоносный JavaScript-код может при атаке RLO быть замаскирован под файл изображения. Для этого в имени файла, окачивающемся на gnp.js, требуется поставить перед gnp скрытый символ U+202E. В этом случае окончание имени файла будет в Telegram «отзеркалено» и воспроизведено как sj.png – что соответствует расширению файла изображения. Таким способом хакеры рассылали пользователям вредоносное ПО – главным образом, шпионские программы и майнеры криптовалюты, замаскированные под безобидные картинки.
Анализ «Лаборатории Касперского» свидетельствует о том, что все атаки, эксплуатировавшие уязвимость, были направлены исключительно против российских пользователей. После сообщения о проблеме разработчикам Telegram уязвимость была устранена.
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970
