Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Des pirates ont exploité une vulnérabilité Zero Day dans la messagerie Telegram pour propager un malware multifonction

février 2018 par Kaspersky Lab

Les chercheurs de Kaspersky Lab ont découvert des attaques en cours, menées par un nouveau malware exploitant une vulnérabilité Zero Day dans l’application Telegram Desktop. La faille a servi à diffuser ce malware multifonction qui, suivant le type d’ordinateur, peut agir comme une porte dérobée (backdoor) ou comme vecteur d’un logiciel de minage de cryptomonnaies (Monero, Zcash, etc.). Selon les recherches effectuées, la vulnérabilité est utilisée activement depuis mars 2017 pour la fonction de minage.

Les messageries sociales sont depuis longtemps un élément essentiel de notre univers connecté, nous permettant de rester beaucoup plus facilement en contact avec nos amis et nos proches. Cependant, elles peuvent poser des problèmes majeurs en cas de cyberattaque. C’est ainsi que, le mois dernier, Kaspersky Lab a publié une étude sur un malware mobile avancé, le cheval de Troie Skygofree, capable d’intercepter des messages WhatsApp. Une étude plus récente révèle que des experts ont pu identifier des attaques en cours exploitant une nouvelle vulnérabilité, jusque-là inconnue, dans la version Desktop d’une autre messagerie instantanée répandue.

D’après cette dernière étude, la faille Zero Day dans Telegram repose sur la méthode Unicode RLO (Right-to-Left Override), généralement employée pour le codage de langues qui s’écrivent de droite à gauche, telles que l’arabe ou l’hébreu. En dehors de cela, toutefois, la vulnérabilité peut également être exploitée par les auteurs du malware pour inciter par ruse les utilisateurs à télécharger des fichiers malveillants, par exemple masqués sous forme d’images.

Les pirates ont caché dans le nom du fichier un caractère Unicode qui inverse l’ordre des caractères, ce qui revient à modifier ce nom. En conséquence, des utilisateurs ont téléchargé un malware masqué qui s’est ensuite installé sur leur ordinateur. Kaspersky Lab a signalé la vulnérabilité à Telegram et, à ce jour, la faille Zero Day n’a plus été observée dans les produits de la messagerie.

Au cours de leur analyse, les experts de Kaspersky Lab ont identifié plusieurs scénarios d’exploitation de la faille Zero Day par les auteurs de la menace. Dans le premier cas, la vulnérabilité a servi à diffuser un malware de minage de cryptomonnaie, qui peut être très nuisible pour les utilisateurs. En détournant la puissance de calcul du PC de la victime, des cybercriminels ont créé différents types de cryptomonnaie (Monero, Zcash, Fantomcoin, etc.). En outre, en analysant les serveurs des pirates, les chercheurs de Kaspersky Lab ont découvert des archives contenant un cache local Telegram dérobé à des victimes.

Dans un autre cas, une fois la faille exploitée avec succès, une backdoor utilisant l’API Telegram comme protocole de commande et de contrôle a été installée, afin de permettre aux pirates d’accéder à distance à l’ordinateur de la victime. Après son installation, le malware opère en mode silencieux, de sorte que l’auteur de la menace peut passer inaperçu sur le réseau et exécuter différentes commandes, notamment pour implanter des spywares supplémentaires.

Les éléments découverts lors de l’analyse indiquent que les cybercriminels sont d’origine russe.

« Les services de messagerie instantanée étant extrêmement prisés, les développeurs doivent impérativement protéger de manière adéquate leurs utilisateurs afin qu’ils ne deviennent pas des cibles faciles pour les cybercriminels. Nous avons observé plusieurs scénarios d’exploitation de cette faille Zero Day qui, en dehors d’activités malveillantes générales et d’espionnage, a servi à diffuser un logiciel de minage de cryptomonnaie, un type d’infection qui a eu tendance à se répandre au niveau mondial tout au long de l’an passé. En outre, nous pensons que cette même vulnérabilité a aussi été exploitée par d’autres moyens », commente Alexey Firsh, analyste en malwares dans le cadre d’attaques ciblées chez Kaspersky Lab.

Les produits Kaspersky Lab détectent et bloquent les scénarios d’exploitation de la vulnérabilité découverte.

Afin de protéger votre PC contre toute infection, Kaspersky Lab recommande les précautions suivantes :
 Ne téléchargez et n’ouvrez pas de fichiers inconnus provenant de sources non fiables.
 Evitez de communiquer des informations personnelles sensibles via une messagerie instantanée.
 Installez une solution de sécurité fiable, telle que Kaspersky Internet Security ou Kaspersky Free, qui détecte et neutralise toutes les menaces possibles, y compris les logiciels malveillants de minage.

Pour en savoir plus sur la faille Zero Day découverte, notamment ses détails techniques, consultez le blog sur Securelist.com : https://securelist.com/zero-day-vulnerability-in-telegram/83800/


Voir les articles précédents

    

Voir les articles suivants