Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Criminelen gebruikten Telegram-client voor verspreiding Windows-malware'

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een bug in de Windows-client van de chatapp Telegram ontdekt. Hoofdzakelijk Russische criminelen zouden de inmiddels gefikste bug gebruikt hebben om bijvoorbeeld cryptominingmalware te verspreiden.

Kaspersky vermeldt dat de criminelen een zogenaamde right to left override-aanval gebruikten. Daarbij maakt een aanvaller gebruik van een bepaald unicodekarakter zonder symbool, aangeduid als u+202e, om de tekst die op dat symbool volgt om te draaien. Dat is nuttig om bijvoorbeeld een extensie van een bestand anders te doen lijken dan hij in werkelijkheid is. Kaspersky noemt het voorbeeld van een javascript-bestand 'gnp.js'. Door deze tekst om te draaien, krijg je 'sj.png', waardoor het lijkt dat het om een afbeelding gaat. Hier is ook een langere bestandsnaam van te maken, zoals 'photo-high-resj.png', door het unicode-karakter op de juiste plek in te voegen. Het bestand behoudt echter zijn oorspronkelijke indeling.

In de Telegram-client zou een dergelijk js-bestand echter weergegeven zijn als een afbeelding, schrijft het beveiligingsbedrijf. Een Windows-gebruiker moet bij het openen ervan dan eerst langs een waarschuwing klikken dat de uitgever van het bestand in kwestie niet geverifieerd kan worden, wat bij een afbeelding voor sommige gebruikers argwaan doet ontstaan. Dit soort meldingen kunnen echter ook uit staan. Kaspersky heeft het probleem aan Telegram gemeld en het bedrijf zou het inmiddels hebben opgelost. Het is onduidelijk op welke manier dat is gebeurd.

Als een slachtoffer eenmaal het betreffende bestand had geopend, kon de malware zijn werk doen en een downloader op het systeem plaatsen om kwaadaardige code binnen te halen. Bijvoorbeeld in de vorm van een backdoor, keylogger of een cryptominer. De downloader communiceert met de criminelen via de Telegram-api, aldus Kaspersky. Het bedrijf noemt voorbeelden als een miner voor NiceHash of een Monero-miner. Het meldt verder dat de bug hoofdzakelijk bekend leek te zijn bij Russische criminelen. Het is onduidelijk hoeveel slachtoffers er zijn gemaakt. De aanvallen via deze methode begonnen in maart van vorig jaar.

Update, 16:12: Zoals tweaker Blizz opmerkt, heeft Telegram-ceo Pavel Durov kort op de bevindingen van Kaspersky gereageerd en stelt dat het niet om een echte kwetsbaarheid in Telegram Desktop gaat. Gebruikers zouden immers nog steeds zelf een kwaadaardig bestand moeten openen.

Een 'png'-bestand in de Telegram-client. Via Kaspersky

Door Sander van Voorst

Nieuwsredacteur

13-02-2018 • 15:57

55 Linkedin Google+

Reacties (55)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True