Telegram-App öffnet Hintertür und installiert Krypto-Miner

Die Schwachstelle betrifft nur Nutzer der Desktop-App für Windows. Hacker nutzen die Anfälligkeit seit März 2017 für ihre Zwecke. Telegram hat das Loch inzwischen gestopft.

Kaspersky Lab hat eine Zero-Day-Lücke in der Telegram-Desktop-App für Windows entdeckt. Sie wurde bereits seit Monaten von Cyberkriminellen ausgenutzt, die über die Anfälligkeit eine neuartige Schadsoftware verbreiteten. Sie ist in der Lage, eine Hintertüre einzurichten oder auch verschiedene Kryptowährungen zu schürfen.

Telegram (Bild: Telegram)Die Forscher gehen davon aus, dass die Schwachstelle nur einer angeblich aus Russland stammenden Gruppe bekannt war, die sie seit März 2017 für ihre Zwecke nutzte. Wie lange der Fehler schon in der Windows-App von Telegram steckt, ist nicht bekannt. Das Loch ist jedoch inzwischen gestopft.

Angreifbar war eine Funktion zur Verarbeitung von Schriften wie Hebräisch und Arabisch, die von rechts nach links gelesen werden. Dadurch war es möglich, Nutzern schädliche Dateien unterzuschieben und den eigentlichen Dateinamen inklusive Dateiendung zu vertuschen beziehungsweise als eine harmlose Datei auszugeben. Statt augenscheinlich eines Bilds im PNG-Format erhielten Nutzer in Wahrheit beispielsweise eine JavaScript-Datei, die bei ihrer Ausführung Schadcode einschleuste.

Um die Kontrolle über ein System zu übernehmen, schleusten die Cyberkriminellen einen in .NET geschriebenen Downloader ein, der wiederum die Telegram-API nutzte, um einen Autostart-Eintrag in der Registry anzulegen. Die so eingerichtete Hintertür erlaubte es den Hintermännern, Dateien von einem infizierten System herunterzuladen oder zu löschen, oder auch den Browserverlauf auszulesen. Weitere Befehle waren demnach geeignet, um zusätzliche Malware wie Keylogger zu installieren.

Zusätzlich zur Hintertür richtete die Schadsoftware aber auch Miner für verschiedene Kryptowährungen ein, darunter Monero, ZCash und Fantomcoin. Wie viel virtuelles Geld die Hacker seit März 2017 generierten, konnte Kaspersky nicht ermitteln.

Wann die Zero-Day-Lücke entdeckt wurde, teilte Kaspersky ebenfalls nicht mit. Seitdem wurden jedoch keine aktiven Angriffe beobachtet. Die Herkunft der Hacker vermutet Kaspersky in Russland, weil der Schadcode Befehle in russischer Sprache enthält und alle Infektionen mit der Malware russische Systeme betrafen.

Um sich vor solchen Angriffen zu schützen, sollten Nutzer die auch sonst geltenden Regeln beachten. Unter anderem sollten sie es vermeiden, Dateien aus nicht bekannten Quellen herunterzuladen oder auch auf Links zu klicken, die sie nicht explizit angefordert haben.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, Messenger, Security, Sicherheit, Telegram, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Telegram-App öffnet Hintertür und installiert Krypto-Miner

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *