Сам по себе трюк с применением Юникода для переименования файла не новый. Его использовали, чтобы маскировать зловредные вложения в электронных письмах и скачиваемые интернет-файлы, уже почти десять лет назад, и во многих средах от него уже успешно защитились — в них такое переименование не проходит. Но в Telegram его применили впервые — и оказалось, что это работает. То есть в Telegram есть (точнее, была) так называемая RLO-уязвимость, которую и нашли недавно наши исследователи.
Прикольная картинка превращается… в майнер или бэкдор
Эта уязвимость обнаружена только в Windows-клиенте Telegram, в мобильных приложениях ее не было. Наши эксперты обнаружили не только ее саму, но и тот факт, что злоумышленники ей уже активно пользовались. Жертва получала псевдокартинку, открывала ее — и ее компьютер оказывался зараженным. Операционная система может предупредить, что пользователь запускает исполняемый файл из неизвестного источника, — это должно насторожить человека, который вообще-то открывал картинку, а не файл с кодом. Но, как это ни печально, многие нажимают Run или «Запустить», не всматриваясь в сообщение.
После запуска зловред действительно показывает «прикольную картинку», чтобы усыпить внимание жертвы. А дальше есть несколько вариантов — в зависимости от конфигурации трояна.
Вариант номер раз — скрытый майнинг. Компьютер будет тормозить и перегреваться, бросая все силы на добычу криптовалюты для злоумышленников. Вариант номер два — установка бэкдора, который позволяет преступникам управлять компьютером удаленно и делать с ним все, что захочется, — от удаления и установки любых программ до сбора ваших личных данных. Такая зараза может очень долго прятаться на устройстве, никак не выдавая свое присутствие.
Спокойствие, только спокойствие
Обнаружив эту уязвимость, наши исследователи сообщили о ней разработчикам Telegram, которые ее устранили, — использовать именно этот трюк именно в этом мессенджере у мошенников уже не получится. Однако это ни в коем случае не значит, что уязвимостей в Telegram или других популярных мессенджерах не осталось — просто о них пока никто не сообщал. Поэтому, чтобы защититься от новых напастей, советуем освежить в памяти простые правила безопасности: они работают и в соцсетях, и при обмене мгновенными сообщениями, и в любых других средствах коммуникации:
Не скачивайте и не открывайте файлы из небезопасных источников. Если незнакомый вам Вася прислал картинку — не стоит сломя голову мчаться ее смотреть.
Увидев системное предупреждение, задумайтесь, соответствует ли описание файла тому, что вы собирались открыть.
Установите надежное защитное решение, например Kaspersky Internet Security, которое поможет поймать мимикрирующего под картинку зловреда еще на этапе скачивания или когда он попытается установиться. Ну и от другой заразы защитит.
