Sicherheitsforscher von Kaspersky Lab haben eine Zero-Day-Lücke in der Telegram-Desktop-App für Windows festgestellt. Diese Lücke wird schon seit Monaten von Kriminellen ausgenutzt, die über die Schwachstelle eine neuartige Schadsoftware verbreiteten, die eine Hintertür einrichten oder auch unterschiedliche Kryptowährungen schürfen kann.

Die Forscher nehmen an, dass die Schwachstelle nur einer angeblich aus Russland kommenden Gruppe bekannt war, die die Sicherheitslücke schon seit März 2017 für ihre kriminellen Zwecke nutzte. Inzwischen ist das Problem in Telegram aber beseitigt.

Von rechts nach links…

Der Angriff lief über eine Funktion zur Verarbeitung von Schriften wie Hebräisch und Arabisch, die ja von rechts nach links gelesen werden. Die erlaubte es, den Nutzern schädliche Dateien unterzujubeln, wobei der eigentliche Dateiname inklusive Dateiendung von rechts nach links vertuscht wurde, wodurch die Javascript-Schadsoftware-Datei wie eine harmlose PNG-Bilddatei aussah.

Ein .NET-Downloader der Kriminellen, der dann die Telegram-API nutzte, um einen Autostart-Eintrag in der Registry anzulegen, brachte eine Hintertür auf den Rechner und erlaubte es den Angreifern, Dateien von einem infizierten System herunterzuladen oder zu löschen, oder zum Beispiel auch den Browserverlauf auszulesen. Mit weiteren Befehlen konnten sie auch zusätzliche Malware wie beispielsweise Keylogger installieren.

Neben der Hintertür richtete die Schadsoftware aber auch Miner für diverse Kryptowährungen wie Monero, ZCash und Fantomcoin ein. Wie viel Kryptogeld die Hacker seit März 2017 so erzeugt haben, konnte Kaspersky nicht sagen.