Des pirates ont exploité une vulnérabilité Zero Day dans la messagerie Telegram pour propager un malware multifonction.
Tribune Kaspersky Lab – Les chercheurs de Kaspersky Lab ont découvert des attaques en cours, menées par un nouveau malware exploitant une vulnérabilité Zero Day dans l’application Telegram Desktop. La faille a servi à diffuser ce malware multifonction qui, suivant le type d’ordinateur, peut agir comme une porte dérobée (backdoor) ou comme vecteur d’un logiciel de minage de cryptomonnaies (Monero, Zcash, etc.). Selon les recherches effectuées, la vulnérabilité est utilisée activement depuis mars 2017 pour la fonction de minage.
Alors que les messageries sociales font partie de l’environnement quotidien connecté d’une part importante de notre société, la confiance des utilisateurs en une plateforme dépend de la sécurité des données qui s’y trouvent et des plateformes en elles-mêmes. La confidentialité et la fréquence des messages partagés sur ces types de messageries entraine une prise de risque conséquente pour les utilisateurs, en cas de cyberattaque ou de faille de sécurité.
Après la découverte du malware mobile compromettant WhatsApp, les chercheurs de Kaspersky Lab ont cette fois-ci découvert des attaques en cours, menées par un nouveau malware exploitant une vulnérabilité Zero Day dans l’application Telegram Desktop. La faille a servi à diffuser ce malware multifonction qui, suivant le type d’ordinateur, peut agir comme une porte dérobée (backdoor) ou comme vecteur d’un logiciel de minage de cryptomonnaies (Monero, Zcash, etc.).
Les messageries sociales sont depuis longtemps un élément essentiel de notre univers connecté, nous permettant de rester beaucoup plus facilement en contact avec nos amis et nos proches. Cependant, elles peuvent poser des problèmes majeurs en cas de cyberattaque. C’est ainsi que, le mois dernier, Kaspersky Lab a publié une étude sur un malware mobile avancé, le cheval de Troie Skygofree, capable d’intercepter des messages WhatsApp. Une étude plus récente révèle que des experts ont pu identifier des attaques en cours exploitant une nouvelle vulnérabilité, jusque-là inconnue, dans la version Desktop d’une autre messagerie instantanée répandue.
D’après cette dernière étude, la faille Zero Day dans Telegram repose sur la méthode Unicode RLO (Right-to-Left Override), généralement employée pour le codage de langues qui s’écrivent de droite à gauche, telles que l’arabe ou l’hébreu. En dehors de cela, toutefois, la vulnérabilité peut également être exploitée par les auteurs du malware pour inciter par ruse les utilisateurs à télécharger des fichiers malveillants, par exemple masqués sous forme d’images.
Les pirates ont caché dans le nom du fichier un caractère Unicode qui inverse l’ordre des caractères, ce qui revient à modifier ce nom. En conséquence, des utilisateurs ont téléchargé un malware masqué qui s’est ensuite installé sur leur ordinateur. Kaspersky Lab a signalé la vulnérabilité à Telegram et, à ce jour, la faille Zero Day n’a plus été observée dans les produits de la messagerie.
Au cours de leur analyse, les experts de Kaspersky Lab ont identifié plusieurs scénarios d’exploitation de la faille Zero Day par les auteurs de la menace. Dans le premier cas, la vulnérabilité a servi à diffuser un malware de minage de cryptomonnaie, qui peut être très nuisible pour les utilisateurs. En détournant la puissance de calcul du PC de la victime, des cybercriminels ont créé différents types de cryptomonnaie (Monero, Zcash, Fantomcoin, etc.). En outre, en analysant les serveurs des pirates, les chercheurs de Kaspersky Lab ont découvert des archives contenant un cache local Telegram dérobé à des victimes.
Dans un autre cas, une fois la faille exploitée avec succès, une backdoor utilisant l’API Telegram comme protocole de commande et de contrôle a été installée, afin de permettre aux pirates d’accéder à distance à l’ordinateur de la victime. Après son installation, le malware opère en mode silencieux, de sorte que l’auteur de la menace peut passer inaperçu sur le réseau et exécuter différentes commandes, notamment pour implanter des spywares supplémentaires.
Les éléments découverts lors de l’analyse indiquent que les cybercriminels sont d’origine russe.
« Les services de messagerie instantanée étant extrêmement prisés, les développeurs doivent impérativement protéger de manière adéquate leurs utilisateurs afin qu’ils ne deviennent pas des cibles faciles pour les cybercriminels. Nous avons observé plusieurs scénarios d’exploitation de cette faille Zero Day qui, en dehors d’activités malveillantes générales et d’espionnage, a servi à diffuser un logiciel de minage de cryptomonnaie, un type d’infection qui a eu tendance à se répandre au niveau mondial tout au long de l’an passé. En outre, nous pensons que cette même vulnérabilité a aussi été exploitée par d’autres moyens », commente Alexey Firsh, analyste en malwares dans le cadre d’attaques ciblées chez Kaspersky Lab.
Les produits Kaspersky Lab détectent et bloquent les scénarios d’exploitation de la vulnérabilité découverte.
Pour en savoir plus sur la faille Zero Day découverte, notamment ses détails techniques, consultez le blog sur Securelist.com.