محققان آزمایشگاه کسپرسکی می گویند که هکرها و نویسندگان بدافزارها از آسیب پذیری روز-صفر در سرویس پیام رسانی تلگرام در ویندوز استفاده کرده اند تا به استخراج ارز رمزپایه بپردازند. آنها با هک تلگرام و آلوده کردن کامپیوترهای کاربران توسط بدافزارها از توان کامپیوتر کاربراهای تلگرام برای عملیات ماینینگ استفاده می کنند.

این آسیب پذیری آسیب پذیری بلافاصله رفع شده است اما Alexey Firsh، محقق کسپرسکی میگوید که به نظر میرسد پیش از کشف این مشکل در ماه اکتبر، کلاهبرداران چندین ماه از این نقص امنیتی سو استفاده کرده بودند.

فایل های RLO

طبق گفته های این محقق، این آسیب پذیری در نسخه های ویندوز تلگرام مربوط به مدیریت کاراکتر RLO (جابه جایی راست به چپ) Unicode میباشد. این کاراکتر برای تغییر نمایش متن از RTL به LTR می باشد.

Firsh میگوید که کلاهبرداران، کاربران تلگرام را با ارسال پیام هایی حاوی فایل ضمیمه، آلوده کرده اند. نام فایل ها حاوی کارکتر RLO بوده که متن نمایش داده شده را تغییر داده و به میانه ی اسم فایل آورده است.

برای مثال در یک مورد کلاهبرداران فایلی به نام “photo_high_re*U+202E*gnp.js”برای کاربران ارسال کرده اند که *U+202E* در واقع کارکتر RLO میباشد.

هنگامی که نام فایل بر روی صفحه کامپیوتر نمایش داده شد، آخرین بخش از نام ناپدید شد و فایل به عنوان “photo_high_resj.png” ظاهر شد، مانند تصویر زیر:

 

هک تلگرام و استخراج ارز رمزپایه توسط هکران

 

مرتبط : استخراج مونرو توسط هکر ها از طریق اندروید و باج افزار BLACK RUBY

کاربران بخاطر هک تلگرام آلوده به بدافزار و بک دور شدند اما اغلب، ماینرها ضربه دیده اند

کاربرانی که بر روی فایل کلیک کرده و آن را اجرا کردند، گمان می کردند که این یک فایل عکس است اما در واقع آن ها یک فایل JavaScript را اجرا کردند که بدافزار را دانلود کرده و بر روی سیستمشان نصب کرده است.

Firsh در این عملیات توانست کلاهبرداران را ردیابی کند و متوجه شد که آنها با استفاده از آسیب پذیری روز-صفر تلگرام، بدافزاری را نصب میکردند تا به طور مخفیانه در کامپیوتر کاربران، ارزهای رمزپایه استخراج کنند. کلاهبرداران تمام تلاش خود را بر روی استخراج Monero, Zcash, و Fantomcoinمتمرکز کرده بودند.

Frish همچنین مورادی را پیدا کرد که در آن کلاهبرداران یک تروجان (قابل کنترل از طریق API تلگرام) و یا دیگر ابزار های جاسوس افزار را با هک تلگرام برروی کامپیوتر قربانی نصب کرده بودند. اما در اغلب موارد هدف همان استخراج ارز رمزپایه و آلوده سازی کامپیوترها برای این هدف بوده است.

مرتبط : مراقب باشید اپلیکیشن تلگرام تقلبی را به جای اصلی دانلود و نصب نکنید

 

 هک تلگرام تنها توسط هکرهای روسی انجام گرفته

آسیب پذیری روز صفر آنقدر ها هم جدید و خلاقانه نیست و بر پایه ی یک حیله قدیمی کار میکند که حداقل نیمی از یک دهه است که شناخته شده است و اولین بار در گزارش ۲۰۱۳ اف سکیور شرح داده شد.

طبق گفته های این محقق کسپرسکی، روز صفر به طور محدود مورد استفاده قرار گرفته است و تنها توسط عوامل روس اکسپلویت شده است.

Firsh در گزارشی که در Bleeping Computer موجود است نوشته است: ” به نظر میرسد فقط مجرمان سایبری روسی از این آسیب پذیری و تمام اکسپلویت هایی که ما در روسیه پیدا کرده ایم، خبر داشته اند.”

این کارشناس میگوید: “همچنین در حین بررسی دقیق این حملات، بسیاری از مصنوعات را کشف کردیم که نشان دهنده دخالت مجرمان سایبری روسیه بود.”

او اضافه میکند: ” ما اطلاعات دقیقی در این باره که چه مدت و چه ورژن هایی از تلگرام تحت تاثیر این اآسیب پذیری بوده اند نداریم. تمام آنچه ما میدانیم این است که این اکسپلویت در نسخه ویندوز از مارچ ۲۰۱۷ آغاز شده است.”

مرتبط : WANNAMINE چیست؟ بدافزاری که ارز رمزپایه استخراج – ماینینگ میکند

مرتبط : چگونه ارزهای رمزپایه مانند بیت کوین کار مجرمان اینترنتی را آسان کرده اند

منبع : Bleeping Computer

 


کسپرسکی گزارش داد: هک تلگرام ویندوز و استخراج ارز رمزپایه توسط هکرها


 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *