Злые картинки в Telegram

13 февраля 2018

Для многих из нас мессенджеры уже стали основным средством общения, чем, конечно же, активно пользуются злоумышленники, которые пытаются через эту форточку влезть на наши устройства — и в нашу жизнь. Совсем недавно мы рассказывали про Android-троян Skygofree, который среди прочего шпионит за Facebook Messenger, Skype, Viber, WhatsApp. Ну а сегодня поговорим про обнаруженную нашими экспертами новую многофункциональную заразу, которая предпочитает стационарные компьютеры и распространяется через Telegram — причем весьма хитроумным способом.

Зловред превращается… в прикольную картинку!

Одна из главных задач создателей троянов — убедить пользователя собственноручно запустить вредоносный файл. Для этого они маскируют опасные файлы как безобидные — и используют для этого почти что цирковые трюки.

В некоторых языках слова пишутся справа налево — например, в арабском или иврите. В Юникоде — стандартном наборе символов, который используется почти повсеместно, — на этот случай есть возможность изменить направление набора текста. Достаточно использовать специальный невидимый символ — и все буквы после него автоматически будут отображаться в обратном порядке. Именно этим и воспользовались злоумышленники.

Допустим, преступник создал некий вредоносный файл троян.js. Это файл Javascript с соответствующим расширением JS, в котором может оказаться какой угодно исполняемый код, — осторожный пользователь сразу заподозрит неладное и не станет его запускать. Однако мошенник может переименовать его, например, так: прикольная_картинка*U+202E*gnp.js. Здесь U+202E — тот самый символ Юникода, который следующие за ним буквы и знаки препинания напишет справа налево. В результате на экране название файла будет выглядеть так: прикольная_картинкаsj.png. Теперь кажется, что расширение файла — PNG, то есть что перед вами обычная картинка, но функционально это по-прежнему Javascript-троян.

Сам по себе трюк с применением Юникода для переименования файла не новый. Его использовали, чтобы маскировать зловредные вложения в электронных письмах и скачиваемые интернет-файлы, уже почти десять лет назад, и во многих средах от него уже успешно защитились — в них такое переименование не проходит. Но в Telegram его применили впервые — и оказалось, что это работает. То есть в Telegram есть (точнее, была) так называемая RLO-уязвимость, которую и нашли недавно наши исследователи.

Прикольная картинка превращается… в майнер или бэкдор

Эта уязвимость обнаружена только в Windows-клиенте Telegram, в мобильных приложениях ее не было. Наши эксперты обнаружили не только ее саму, но и тот факт, что злоумышленники ей уже активно пользовались. Жертва получала псевдокартинку, открывала ее — и ее компьютер оказывался зараженным. Операционная система может предупредить, что пользователь запускает исполняемый файл из неизвестного источника, — это должно насторожить человека, который вообще-то открывал картинку, а не файл с кодом. Но, как это ни печально, многие нажимают Run или «Запустить», не всматриваясь в сообщение.

Увидели такое окно — задумайтесь

После запуска зловред действительно показывает «прикольную картинку», чтобы усыпить внимание жертвы. А дальше есть несколько вариантов — в зависимости от конфигурации трояна.

Вариант номер раз — скрытый майнинг. Компьютер будет тормозить и перегреваться, бросая все силы на добычу криптовалюты для злоумышленников. Вариант номер два — установка бэкдора, который позволяет преступникам управлять компьютером удаленно и делать с ним все, что захочется, — от удаления и установки любых программ до сбора ваших личных данных. Такая зараза может очень долго прятаться на устройстве, никак не выдавая свое присутствие.

Спокойствие, только спокойствие

Обнаружив эту уязвимость, наши исследователи сообщили о ней разработчикам Telegram, которые ее устранили, — использовать именно этот трюк именно в этом мессенджере у мошенников уже не получится. Однако это ни в коем случае не значит, что уязвимостей в Telegram или других популярных мессенджерах не осталось — просто о них пока никто не сообщал. Поэтому, чтобы защититься от новых напастей, советуем освежить в памяти простые правила безопасности: они работают и в соцсетях, и при обмене мгновенными сообщениями, и в любых других средствах коммуникации:

  • Не скачивайте и не открывайте файлы из небезопасных источников. Если незнакомый вам Вася прислал картинку — не стоит сломя голову мчаться ее смотреть.
  • Увидев системное предупреждение, задумайтесь, соответствует ли описание файла тому, что вы собирались открыть.
  • Установите надежное защитное решение, например Kaspersky Internet Security, которое поможет поймать мимикрирующего под картинку зловреда еще на этапе скачивания или когда он попытается установиться. Ну и от другой заразы защитит.