telegram

Une faille de sécurité découverte dans la messagerie Telegram

Un problème de sécurité informatique découvert dans l’application Telegram Desktop. Des attaques ont été confirmées.

Une vulnérabilité dans Telegram utilisées dans une attaque informatique en cours. Alors que les messageries sociales font partie de l’environnement quotidien connecté d’une part importante de notre société, la confiance des utilisateurs en une plateforme dépend de la sécurité des données qui s’y trouvent et des plateformes en elles-mêmes. La confidentialité et la fréquence des messages partagés sur ces types de messageries entraine une prise de risque conséquente pour les utilisateurs, en cas de cyberattaque ou de faille de sécurité.

Après la découverte du malware mobile compromettant WhatsApp, les chercheurs de Kaspersky Lab ont cette fois-ci découvert des attaques en cours, menées par un nouveau malware exploitant une vulnérabilité Zero Day dans l’application Telegram Desktop. La faille a servi à diffuser ce malware multifonction qui, suivant le type d’ordinateur, peut agir comme une porte dérobée (backdoor) ou comme vecteur d’un logiciel de minage de cryptomonnaies (Monero, Zcash, etc.).

La faille Zero Day dans Telegram repose sur la méthode Unicode RLO (Right-to-Left Override), généralement employée pour le codage de langues qui s’écrivent de droite à gauche, telles que l’arabe ou l’hébreu. En dehors de cela, toutefois, la vulnérabilité peut également être exploitée par les auteurs du malware pour inciter par ruse les utilisateurs à télécharger des fichiers malveillants, par exemple masqués sous forme d’images.

Attaque observée

Les pirates ont caché dans le nom du fichier un caractère Unicode. Il inverse l’ordre des caractères, ce qui revient à modifier ce nom. En conséquence, des utilisateurs ont téléchargé un malware masqué. La vulnérabilité a été signalée à Telegram. A ce jour, la faille Zero Day n’a plus été observée dans les produits de la messagerie.

Au cours de leur analyse, les experts ont identifié plusieurs scénarios d’exploitation de la faille Zero Day.

Premièrement, la vulnérabilité a servi à diffuser un malware de minage de cryptomonnaie. Il peut être très nuisible pour les utilisateurs. En détournant la puissance de calcul du PC les pirates ont créé des cryptomonnaies : Monero, Zcash, Fantomcoin, etc.

En analysant les serveurs des pirates, les chercheurs ont découvert des archives contenant un cache local Telegram.

Deuxièmement, une fois la faille exploitée, une backdoor a été installée. Elle utilise l’API Telegram comme protocole de commande et de contrôle. Mission, permettre aux pirates d’accéder à distance à l’ordinateur de la victime.

Ensuite, après son installation, le malware opère en mode silencieux. L’auteur de la menace peut passer inaperçu. Il exécute différentes commandes, notamment pour implanter des spywares supplémentaires.

Enfin, les éléments découverts lors de l’analyse indiquent que les cybercriminels sont d’origine russe.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.