Злые картинки в Telegram

Преступники вспомнили старый прием для маскировки зловредов и атаковали пользователей Telegram, маскируя зловредов как картинки.

Для многих из нас мессенджеры уже стали основным средством общения, чем, конечно же, активно пользуются злоумышленники, которые пытаются через эту форточку влезть на наши устройства — и в нашу жизнь. Совсем недавно мы рассказывали про Android-троян Skygofree, который среди прочего шпионит за Facebook Messenger, Skype, Viber, WhatsApp. Ну а сегодня поговорим про обнаруженную нашими экспертами новую многофункциональную заразу, которая предпочитает стационарные компьютеры и распространяется через Telegram — причем весьма хитроумным способом.

Одна из главных задач создателей троянов — убедить пользователя собственноручно запустить вредоносный файл. Для этого они маскируют опасные файлы как безобидные — и используют для этого почти что цирковые трюки.

В некоторых языках слова пишутся справа налево — например, в арабском или иврите. В Юникоде — стандартном наборе символов, который используется почти повсеместно, — на этот случай есть возможность изменить направление набора текста. Достаточно использовать специальный невидимый символ — и все буквы после него автоматически будут отображаться в обратном порядке. Именно этим и воспользовались злоумышленники.

Допустим, преступник создал некий вредоносный файл троян.js. Это файл Javascript с соответствующим расширением JS, в котором может оказаться какой угодно исполняемый код, — осторожный пользователь сразу заподозрит неладное и не станет его запускать. Однако мошенник может переименовать его, например, так: прикольная_картинка*U+202E*gnp.js. Здесь U+202E — тот самый символ Юникода, который следующие за ним буквы и знаки препинания напишет справа налево. В результате на экране название файла будет выглядеть так: прикольная_картинкаsj.png. Теперь кажется, что расширение файла — PNG, то есть что перед вами обычная картинка, но функционально это по-прежнему Javascript-троян.

Сам по себе трюк с применением Юникода для переименования файла не новый. Его использовали, чтобы маскировать зловредные вложения в электронных письмах и скачиваемые интернет-файлы, уже почти десять лет назад, и во многих средах от него уже успешно защитились — в них такое переименование не проходит. Но в Telegram его применили впервые — и оказалось, что это работает. То есть в Telegram есть (точнее, была) так называемая RLO-уязвимость, которую и нашли недавно наши исследователи.

Эта уязвимость обнаружена только в Windows-клиенте Telegram, в мобильных приложениях ее не было. Наши эксперты обнаружили не только ее саму, но и тот факт, что злоумышленники ей уже активно пользовались. Жертва получала псевдокартинку, открывала ее — и ее компьютер оказывался зараженным. Операционная система может предупредить, что пользователь запускает исполняемый файл из неизвестного источника, — это должно насторожить человека, который вообще-то открывал картинку, а не файл с кодом. Но, как это ни печально, многие нажимают Run или «Запустить», не всматриваясь в сообщение.

Увидели такое окно — задумайтесь

После запуска зловред действительно показывает «прикольную картинку», чтобы усыпить внимание жертвы. А дальше есть несколько вариантов — в зависимости от конфигурации трояна.

Вариант номер раз — скрытый майнинг. Компьютер будет тормозить и перегреваться, бросая все силы на добычу криптовалюты для злоумышленников. Вариант номер два — установка бэкдора, который позволяет преступникам управлять компьютером удаленно и делать с ним все, что захочется, — от удаления и установки любых программ до сбора ваших личных данных. Такая зараза может очень долго прятаться на устройстве, никак не выдавая свое присутствие.

Обнаружив эту уязвимость, наши исследователи сообщили о ней разработчикам Telegram, которые ее устранили, — использовать именно этот трюк именно в этом мессенджере у мошенников уже не получится. Однако это ни в коем случае не значит, что уязвимостей в Telegram или других популярных мессенджерах не осталось — просто о них пока никто не сообщал. Поэтому, чтобы защититься от новых напастей, советуем освежить в памяти простые правила безопасности: они работают и в соцсетях, и при обмене мгновенными сообщениями, и в любых других средствах коммуникации:

• Не скачивайте и не открывайте файлы из небезопасных источников. Если незнакомый вам Вася прислал картинку — не стоит сломя голову мчаться ее смотреть.
• Увидев системное предупреждение, задумайтесь, соответствует ли описание файла тому, что вы собирались открыть.
• Установите надежное защитное решение, например Kaspersky Internet Security, которое поможет поймать мимикрирующего под картинку зловреда еще на этапе скачивания или когда он попытается установиться. Ну и от другой заразы защитит.

13.02.2018