インスタントメッセージアプリであるTelegramには長所と短所がありますが、全体的に見ればまともなプログラムです。2017年の夏にはイラン人にスパイウェアを発信していた偽のTelegram関連アプリに関する記事をまとめました。今回もかなり似ています。末端間の暗号化Telegramにおけるデスクトップ版でゼロデイ脆弱性が検出されました。ハッカーたちは早急にこの欠陥を悪用し、(他のものの中でも特に)暗号マイニングウイルスを広めようとしています。
Telegramのゼロデイ脆弱性でクリプトマイナーが広まる
Kaspersky Lab社のAlexey Firshこそ、Telegram内のゼロデイ脆弱性を発見したことで我々が感謝すべき研究者です。彼は、サイバー犯罪者が実行可能であるテクニックは複数あると説明しました。最も積極的に活用された戦略は、あらゆる種類の暗号通貨を生成することを目的として、Windowsコンピュータのリソースを不正に使用することでした。
この戦略が一般的とされますが、他のものも記しておくべきでしょう。ゼロデイ脆弱性が原因で詐欺師がTelegram ユーザーのキャッシュを盗むことができたり、オペレーティングシステムへの遠隔アクセスを得ることができたりする可能性があります。Kaspersky Lab社の研究者たちは、この脆弱性はロシアのサイバー犯罪者によってのみ悪用されたと述べています。ロシア以外からの同様の試みは現在のところ検出されていません。
疑問が残ります。正確にはどうやってTelegramユーザーを感染させるのか? それはハッカーたちが悪意のあるファイル(Telegram経由で送信されたもの)をダウンロードさせるよう人々を騙していたようです。これらのサイバー攻撃は2017年3月から行われていました。これによりハッカーたちは疑うことを知らないTelegram ユーザーに対してクリプトマイナーを配布するのに十分な時間を得たのです。
ゼロデイ脆弱性はTelegramがRLO (right-to-left override) Unicode 制御記号(U+202E)を処理するために使った技術の中で見つかりました。Firshは、犯罪者がTelegram メッセージアプリを通じて分布されたファイル内のRLO 文字を隠すと説明しています。この脆弱性のおかげで、悪質なJavaScriptプログラムが一見無害な画像ファイルや動画ファイルの形で隠れていたのです。
脆弱性が修復済み
Kaspersky Lab社がTelegramの担当者に連絡をした後、このゼロデイ脆弱性は修正されました。この特定の欠陥に関してはもう心配する必要はありません。ただし、Telegram内で今後その他の脆弱性が検出されないという約束はありません。実際にどんなプログラムでも時折アップデートやパッチが必要なのです。一般的に使われている他のアプリのうちどれがゼロデイ脆弱性と戦うものになるのかは誰にもわかりません。
Telegramに対する攻撃が行われている間に安全を保つのはそれほど困難なことではありませんでした。経験豊富なネットサーファーは、見知らぬファイルやプログラムをダウンロードしないというシンプルなルールに従っているはずです。ランダムな画像ファイルや動画ファイルを受け取ってしまった場合、ダウンロードする前に考えましょう。それらのファイルは悪意を持ってあなたに近づこうとしている可能性が非常に高いです。
Source: threatpost.com.
Source: https://www.2-viruses.com/cryptomining-virus-spreads-thru-telegram-desktop-version