Hacker verbreiten Malware über Zero-Day-Schwachstelle in Telegram

Moskau / lngolstadt, (PresseBox) - Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer Zero-Day-Schwachstelle in der Desktop-App des Messenger-Dienstes Telegram erfolgen [1]. Dabei kommt eine neuartige multifunktional einsatzbare Malware zum Einsatz, die je nach Typ des befallenen Rechners entweder als Backdoor oder als Tool zur Auslieferung von Mining-Software fungiert. Die Schwachstelle wurde bereits seit März 2017 aktiv für das Mining von Kryptowährungen eingesetzt, beispielsweise zur Generierung von Monero- oder Zcash-Einheiten.

Bereits heute sind Messenger-Dienste unter deutschen Jugendlichen die häufigste Kontaktform zu Freunden [2]. Welche Folgen ein Cyberangriff auf Messanger haben kann, zeigte der von Kaspersky Lab unlängst enttarnte mobile Spyware-Trojaner Skygofree [3], der in der Lage war, WhatsApp-Mitteilungen abzufangen. Nun haben die Kaspersky-Experten eine weitere, bislang unbekannte Schwachstelle in der Desktop-Version des Messengers Telegram ausfindig gemacht. Die Sicherheitslücke wird bereits für Angriffe „in the wild“ ausgenutzt.

„Instant Messenger sind sehr beliebt. Daher ist es äußerst wichtig, dass Software-Entwickler ihre Kunden adäquat schützen und es den
Cyberkriminellen nicht allzu leicht machen“, sagt Alexey Firsh, Malware Analyst Targeted Attacks Research bei Kaspersky Lab. „Für den aktuellen Zero-Day-Exploit haben wir unterschiedliche Szenarien ausgemacht. Neben konventioneller Malware und Spyware wurde darüber auch Mining-Software auf die befallenen Rechner gespielt. Das entspricht einem weltweiten Trend, den wir bereits im vergangenen Jahr feststellen konnten. Wir glauben aber, dass diese Zero-Day-Schwachstelle noch anderweitig genutzt wurde.“

Zero-Day-Schwachstelle mit gravierenden Folgen

Die Zero-Day-Schwachstelle basiert auf der RLO (right-to-left override) Unicode-Methode. Diese Methode wird normalerweise bei Sprachen wie Arabisch oder Hebräisch, die von rechts nach links geschrieben werden, genutzt. Malware-Entwickler nutzen dies auch, um Anwender zum Download schädlicher Dateien zu verleiten, die zum Beispiel als Bilddateien getarnt werden.

Über ein verborgenes Unicode-Zeichen im Dateinamen verdrehten die Angreifer die Reihenfolge der Zeichen und gaben so der Datei einen neuen Namen. Letztlich führte das zum Download verborgener Malware, welche anschließend auf dem Rechner installiert wurde. Kaspersky Lab hat Telegram über die Schwachstelle informiert. Seitdem wurde die Lücke in den Messenger-Produkten bis zum Zeitpunkt dieser Veröffentlichung nicht mehr entdeckt.

Die Experten von Kaspersky Lab stellten im Zuge ihrer Analyse fest, dass die Zero-Day-Schwachstelle von den Bedrohungsakteuren „in the wild“ ausgenutzt wurde. Zum einen wurden die Betroffenen durch eine
Mining-Malware geschädigt. Denn mit der Rechnerleistung der befallenen PCs konnten die Cyberkriminellen Einheiten von verschiedenen
Kryptowährungen wie Monero, Zcash und Fantomcoin minen. Außerdem stellten die Cybersicherheitsexperten bei der Untersuchung der Server eines Bedrohungsakteurs fest, dass auch der lokale Telegram-Cache von den Rechnern der Opfer gestohlen wurde.

Zum anderen wurde nach Befall eine Backdoor installiert, welche die Programmierschnittstelle (API) von Telegram als
Command-and-Control-Protokoll verwendete. Damit bekamen Hacker Fernzugriff auf die Rechner ihrer Opfer. Die Malware agierte nach ihrer Installation unbemerkt, so dass der Bedrohungsakteur im Netzwerk nicht identifiziert wurde und verschiedene Kommandos ausführen konnte – unter anderem zur Installation weiterer Spyware-Tools.

Bei der Untersuchung wurden Artefakte gefunden, die auf einen russischen Hintergrund der Cyberkriminellen schließen lassen.

Kaspersky Lab: Sicherheitstipps

Die Sicherheitslösungen von Kaspersky Lab verhindern das Ausnutzen der entdeckten Schwachstelle. Zum Schutz von PCs vor Infektionen aller Art, werden die folgenden Maßnahmen empfohlen:
• keine unbekannten Dateien von unbekannten Quellen downloaden oder öffnen;
• möglichst keine vertraulichen Daten über Instant Messenger teilen;
• eine zuverlässige Sicherheitslösung installieren, wie etwa
Kaspersky Internet Security [4]. So werden Cybergefahren aller Art erkannt und geblockt – inklusive Schutz vor schädlicher Mining-Software.

Kaspersky Lab hat in seinem Blog weitere Informationen und technische Details zur entdeckten Zero-Day-Schwachstelle veröffentlicht: https://securelist.com/zero-day-vulnerability-in-telegram/83800/ 

[1] https://securelist.com/zero-day-vulnerability-in-telegram/83800/
[2] https://www.bitkom.org/Presse/Presseinformation/Junge-Deutsche-texten-lieber-statt-zu-telefonieren.html 
[3] https://www.kaspersky.com/blog/skygofree-smart-trojan/20717/ und http://newsroom.kaspersky.eu/de/texte/detail/article/skygofree-hochentwickelte-spyware-seit-2014-aktiv
[4] https://www.kaspersky.de/internet-security 

Nützliche Links:
• Kaspersky-Analyse: https://securelist.com/zero-day-vulnerability-in-telegram/83800/
• Kaspersky Internet Security: https://www.kaspersky.de/internet-security
• Kaspersky Free: https://www.kaspersky.de/free-antivirus 

 

 

Kaspersky Labs GmbH

Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das im Jahr 2017 sein 20-jähriges Firmenjubiläum feiert. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Next Generation Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexen und aufkommenden Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.

Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

Cloud-Nutzung und DSGVO in Einklang bringen

Deut­sch­lands Un­ter­neh­men le­gen im­mer mehr ih­re Scheu vor der Cloud ab. Das hat der Cloud Moni­tor 2017 von KPMG und Bit­kom ein­drucks­voll be­stä­tigt. Das ist zu­nächst auch ein po­si­ti­ves Zei­chen. Doch dür­fen CE­Os, COOs und an­de­re Ver­ant­wort­li­che die kom­men­de EU-Da­ten­schutz-Grund­ver­ord­nung (EU-DSG­VO) nicht aus den Au­gen ver­lie­ren.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.