Telegram: Sicherheitslücke wurde seit einem Jahr ausgenutzt

Einstellen Kommentar Drucken

Hacker haben eine Sicherheitslücke in der Windows-Version des Messenger-Dienstes Telegram zur Erzeugung von Kryptowährungen sowie für Spionagetätigkeit ausgenutzt.

Die Schwachstelle wurde bereits seit März 2017 aktiv für das Mining von Kryptowährungen eingesetzt, beispielsweise zur Generierung von Monero- oder Zcash-Einheiten.

Die Malware erlaubte es den Angreifern einerseits, Mining-Software laufen zu lassen, berichten die Sicherheitsforscher. "Das entspricht einem weltweiten Trend, den wir bereits im vergangenen Jahr feststellen konnten", so Firsh.

Den Nutzern von Telegram und anderen Messengern raten die Kaspersky-Forscher allgemein, möglichst keine unbekannten Dateien von unbekannten Quellen herunterzuladen oder zu öffnen. Als Zero-Day-Schwachstelle bezeichnet man Sicherheitslücken, die dem Hersteller noch nicht bekannt sind - und deshalb von ihm noch nicht behoben werden konnten.

Der Angriff setzt konkret an der Desktop-Version von Telegram an und nutzt den RLO-Trick (right-to-left override). Diese Methode wird normalerweise bei Sprachen wie Arabisch oder Hebräisch, die von rechts nach links geschrieben werden, genutzt.

Die Experten von Kaspersky Lab stellten im Zuge ihrer Analyse fest, dass die Zero-Day-Schwachstelle von den Bedrohungsakteuren "in the wild" ausgenutzt wurde. Letztlich führte das zum Download verborgener Malware, welche anschließend auf dem Rechner installiert wurde. Unter anderem sollen die Währungen Fantomcoin, Zcash und Monero generiert worden sein. Diese Information veröffentlichte das russische Softwareunternehmen Kaspersky Lab am Montag. Seitdem wurde die Lücke in den Messenger-Produkten bis zum Zeitpunkt dieser Veröffentlichung nicht mehr entdeckt. Außerdem stellten die Cybersicherheitsexperten bei der Untersuchung der Server eines Bedrohungsakteurs fest, dass auch der lokale Telegram-Cache von den Rechnern der Opfer gestohlen wurde. Zudem wurde die API von Telegram als Command-and-Control-Protokoll eingerichtet, wodurch die Malware den Angreifern Fernzugriff auf betroffene Systeme gab.

Kaspersky schreibt, es sei eine "neuartige multifunktional einsatzbare Malware" zum Einsatz gekommen, bei der einiges, darunter die Sprache für etwaige Kommandos der Angreifer, auf einen "russischen Hintergrund der Cyberkriminellen" hindeute.

Comments