Специалисты «Лаборатории Касперского» выявили уязвимость в приложении Telegram для Windows.

Согласно данным экспертов, брешь эксплуатировалась как минимум с марта 2017 года. «Лаборатория Касперского» оповестила разработчиков Telegram о проблеме, и на сегодняшний день она уже устранена.

Уязвимость заключалась в использовании так называемой атаки right-to-left override (RLO). RLO изменяет порядок символов в названии файла, а значит, и его расширение. В итоге жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл.

Эксперты определили три цели использования бреши злоумышленниками:

1. Доставка бэкдора. В результате мошенники получали удалённый доступ к компьютеру жертвы, включая дальнейшую установку шпионского ПО.
2. Распространение ПО для майнинга. Используя вычислительные возможности ПК жертвы, преступники добывали криптовалюты, такие как Monero, Zcash, Fantomcoin и другие.
3. На серверах злоумышленников также были обнаружены архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Помимо служебных файлов, он содержал личные материалы пользователя, использованные в переписке: документы, аудио- и видеозаписи, фотографии.