در نسخه‌ رایانه‌ رمزنگاری‌شده‌ی پیام‌رسان تلگرام یک آسیب‌پذیری روز-صفرم کشف شده است که به منظور توزیع بدافزاری که ارزهای مجازی مانند مونرو و ZCash استخراج می‌کند، مورد بهره جویی قرار گرفته است. این آسیب‌پذیری تلگرام توسط پژوهش‌گر امنیتی آزمایشگاه کسپرسکی، اَلکسی فیرش، در ماه اکتبر کشف شد و تنها کاربران ویندوز نرم‌افزار پیام‌رسان تلگرام را تحت تأثیر قرار داد.
این آسیب‌پذیری حداقل از ماه مارس سال ۲۰۱۷ میلادی توسط رخنه گران به طور فعال مورد بهره جویی قرار گرفته است، در واقع رخنه گران قربانیان را فریب می‌دادند تا نرم‌افزار مخربی را در رایانه‌ شخصی خود بارگیری کنند که از قدرت پردازنده‌ آن‌ها برای استخراج ارز مجازی استفاده می‌کرد و یا به عنوان یک در ِ پشتی برای رخنه گران عمل می‌کرد تا دستگاه‌های آسیب‌دیده را از راه دور واپایش و مهار کند.
این آسیب‌پذیری به همان روشی بهره جویی می‌شود که کارخواه ویندوز تلگرام، کاراکتر یونیکد RLO یا همان right-to-left override را مدیریت می‌کند، RLO برای زبان‌های کدگذاری که از راست به چپ نوشته می‌شوند، مانند زبان عربی یا عبری استفاده می‌شود.
بنا به گفته‌ آزمایشگاه کسپرسکی، نویسندگان این بدافزار از یک کاراکتر یونیکد RLO مخفی در نام پرونده استفاده کرده‌اند که ترتیب کارکترها را برعکس کرده و در نتیجه نام پرونده را تغییر داده است و آن را برای کاربران تلگرام ارسال کرده است. زمانی که یک رخنه گر پرونده‌ جاوا اسکریپتی را در یک پیام برای کاربر تلگرام ارسال می‌کند، آخرین قسمت نام این پرونده را برعکس می‌کند و در صفحه‌ کاربر نمایش می‌دهد. بنابراین کاربر تلگرام به جای یک پرونده‌ جاوا اسکریپت، یک پرونده‌ تصویری PNG می‌بیند، و فریب خورده و پرونده‌های مخرب را بارگیری می‌کند.
کسپرسکی می‌گوید: «بنابراین، کاربران بدافزار مخفی را بارگیری کرده‌اند که بعداً در رایانه‌های آن‌ها نصب شده است.»
کسپرسکی این آسیب‌پذیری را به تلگرام گزارش داد و از آن زمان این شرکت آسیب‌پذیری را در محصولات خود وصله کرده است، همچنین شرکت امنیتی روسی می‌گوید: «از زمانی که به صورت عمومی منتشر شد، این آسیب‌پذیری روز-صفرم در محصولات پیام‌رسان تلگرام مشاهده نشده است.»
بر پایۀ تجزیه و تحلیل‌ها، پژوهشگران کسپرسکی چندین مورد بهره جویی از آسیب‌پذیری روز-صفرم را یافته‌اند. در ابتدا، این آسیب‌پذیری به طور فعال مورد بهره جویی قرار گرفت تا یک بدافزار استخراج ارز مجازی را توزیع کند که از قدرت پردازش رایانه‌ شخصی قربانی استفاده کند و انواع مختلف ارزهای مجازی از جمله مونرو، ZCash، فانتوم کوین و دیگر ارزهای مجازی را استخراج کند. پژوهشگران با تجزیه و تحلیل سرورهای عاملان مخرب، بایگانی‌هایی را کشف کردند که حاوی یک کش محلی تلگرام است که از قربانیان ربوده شده است.
در موارد دیگر، مجرمان سایبری با موفقیت از این آسیب‌پذیری بهره جویی کردند تا یک تروجان در ِ پشتی را نصب کنند که از رابط برنامه‌نویسی تلگرام به عنوان یک پروتکل فرمان و واپایش و مهار استفاده می‌کند و به رخنه گران اجازه می‌دهد به صورت از راه دور به رایانه‌ قربانی دسترسی پیدا کنند. این شرکت افزود: «این تروجان پس از نصب، به طور مخفیانه کار می‌کند و به عاملان مخرب این امکان را می‌دهد که در شبکه دیده نشوند و دستورات مختلفی از جمله نصب دیگر ابزارهای جاسوسی را اجرا کنند.»
فیرش معتقد است که آسیب‌پذیری روز-صفرم تنها توسط مجرمان سایبری روسی مورد بهره جویی قرار گرفته است، مانند همه‌ بهره جویی‌هایی که در روسیه شناسایی شده است. بهترین راه برای محافظت از خود در برابر چنین حمله‌هایی این است که پرونده‌ها را از منابع ناشناس و غیرقابل اطمینان بارگیری و باز نکنید. این شرکت امنیتی همچنین به کاربران توصیه می‌کند که از به اشتراک‌گذاری هر گونه اطلاعات شخصی حساس در این برنامه‌ی پیام‌رسان خودداری کنند و اطمینان حاصل کنند که در سامانه‌های خود یک نرم‌افزار ضد بدافزار خوب از یک شرکت معتبر را نصب کرده‌اند.

 

منبع:  https://kashef.ir

 

کانال تلگرام وبلاگ:        https://t.me/ms_engineeer