Kerentanan zero-day telah ditemukan di versi desktop untuk aplikasi Telegram Messenger terenkripsi yang dieksekusi yang dieksploitasi untuk menyebarkan malware mining cryptourrency.
Kerentanan zero-day Telegram ini ditemukan oleh peneliti keamanan Alexey Firsh dari Kaspersky Labs pada Oktober lalu dan hanya mempengaruhi versi untuk Windows dari perangkat lunak Telegram Messenger.
Kerentanan ini telah secara aktif dieksploitasi sejak bulan Maret 2017 oleh penyerang yang menipu korban untuk mendownload perangkat lunak berbahaya ke PC mereka yang menggunakan daya CPU mereka untuk menambang cryptocurrency atau berfungsi sebagai backdoor bagi penyerang untuk mengendalikan komputer yang terkena dampak dari jarak jauh, menurut sebuah postingan dalam Securelist.
Inilah Cara Kerja Kerentanan Zero Day Telegram Messenger
Menurut Firsh, zero-day ini terdapat dalam bagaimana Telegram untuk Windows menangani karakter Unicorn (kanan-ke-kiri) karakter Unicode. Karakter ini digunakan untuk beralih antara tampilan teks RTL ke LTR yang digunakan untuk pengkodean bahasa yang ditulis dari kanan ke kiri, seperti bahasa Arab atau bahasa Ibrani.
Pembuat malware menggunakan karakter RLO Unicode tersembunyi dalam nama file yang membalik urutan karakter, sehingga mengganti nama file itu sendiri, dan mengirimkannya ke pengguna Telegram.
Misalnya, ketika penyerang mengirimkan file bernama ‘photo_high_re*U+202E*gnp.js’ dalam sebuah pesan ke pengguna Telegram, nama file yang diberikan di layar pengguna membalik bagian terakhir.
“Akibatnya, pengguna mendownload malware tersembunyi yang kemudian diinstal di komputer mereka,” kata Kaspersky dalam siaran persnya yang dipublikasikan hari ini.
Kaspersky Labs melaporkan kerentanan tersebut kepada Telegram dan perusahaan tersebut sejak itu telah memperbaiki kerentanan produknya.
Selama analisis, periset Kaspersky menemukan beberapa skenario eksploitasi zero-day oleh hacker. Terutama, kerentanan itu secara aktif dieksploitasi untuk menyebarkan malware untuk mining, yang menggunakan kekuatan komputasi PC korban untuk menambang berbagai jenis cryptourrency termasuk Monero, Zcash, Fantomcoin, dan lainnya.
Sementara menganalisis server pelaku kejahatan, para periset juga menemukan arsip berisi cache lokal Telegram yang telah dicuri dari korban.
Dalam kasus lain, para cyber crime berhasil mengeksploitasi kerentanan untuk menginstal trojan backdoor yang menggunakan API Telegram sebagai protokol C&C, yang memungkinkan peretas mendapatkan akses remote ke komputer korban.
