Des pirates exploitent une faille dans l’application Telegram pour miner des monnaies cryptographiques Et mener d’autres attaques, avertit Kaspersky

Alors que les monnaies cryptographiques ont le vent en poupe, de nombreuses initiatives se multiplient autour de ce phénomène et des technologies sous-jacentes.

Que ce soit pour valider des contrats entre des personnes ou des entreprises, effectuer des paiements, lever des fonds, etc., les monnaies cryptographiques et les technologies afférentes trouvent leurs applications dans bien des domaines. L’an dernier par exemple, des géants du secteur des technologies de l’information ainsi que certaines banques et startups ont accordé leur violon pour créer Enterprise Ethereum Alliance (EEA), une organisation à but non lucratif qui s’est fixé comme objectif d’étendre l’utilisation la chaîne des blocs d’Ethereum aux applications fournies par les entreprises, peu importe le domaine d’activités.

Parallèlement aux initiatives qui se multiplient pour adapter ces technologies aux différents domaines professionnels, les acteurs malveillants s’activent également pour tirer profit de ces activités. Hier, Kaspersky a publié un rapport après avoir découvert une campagne d’attaques menées avec un nouveau malware et qui exploite une vulnérabilité zero-day dans l’application cliente pour ordinateur de bureau Telegram utilisée pour envoyer et recevoir des messages. Cette application est assez répandue en raison de ses fonctionnalités de sécurité comme le chiffrement de bout en bout des messages émis entre utilisateurs.

Dans cette nouvelle campagne d’attaques, Kaspersky rapporte que des tiers ont exploité la vulnérabilité découverte dans l’application Telegram pour amener les utilisateurs à installer des logiciels malveillants sur leurs ordinateurs. Parmi les logiciels installés, Kaspersky a découvert des logiciels utilisés pour miner des monnaies cryptographiques comme Monero, Zcash, Fantomcoin et d’autres encore. Pour les personnes extérieures à l’environnement des monnaies cryptographiques, il faut savoir que ces monnaies cryptographiques utilisent en général la technologie de chaine des blocs qui est un réseau distribué permettant de valider les transactions comme les paiements effectués avec ces monnaies virtuelles. Pour que ces transactions disponibles sur le réseau de la chaîne des blocs soient approuvées, les utilisateurs et les entreprises utilisent les ressources de leur matériel pour effectuer des calculs mathématiques nécessaires à la validation de ces transactions, d’où le nom minage de monnaies cryptographiques. Pour avoir contribué à valider ces transactions, ces personnes reçoivent en retour des rémunérations à la hauteur des calculs effectués.

À défaut de voler des informations personnelles pour ensuite les utiliser afin de se faire de l’argent, les acteurs malveillants se sont depuis plusieurs années tournés vers d’autres types de piratage, notamment l’installation de logiciels malveillants ou de scripts furtifs sur les ordinateurs des utilisateurs afin d’utiliser les ressources matérielles de ceux-ci pour miner des cryptomonnaies et se faire de l’argent. Et dans le cas de la récente découverte de Kaspersky, l’entreprise de sécurité rapporte que des attaquants ont activement utilisé l’application Telegram pour miner des monnaies cryptographiques pour leur compte en utilisant les ressources des terminaux des utilisateurs.

Pour ce faire, Kaspersky explique que les pirates se sont appuyés sur une faille basée sur la méthode Unicode RLO (right-to-left override). Cette méthode Unicode RLO est généralement utilisée pour coder des langues écrites de droite à gauche, comme l’arabe ou l’hébreu. Les attaquants auraient utilisé un caractère Unicode caché dans le nom du fichier et qui aurait inversé l’ordre des caractères, renommant ainsi le fichier lui-même. En conséquence, les utilisateurs ont téléchargé des logiciels malveillants cachés qui ont ensuite été installés sur leur ordinateur.

Après l’exploitation réussie de la vulnérabilité, une porte dérobée utilisant l’API Telegram comme protocole de commande et de contrôle a été également installée, ce qui a permis aux pirates d’accéder à distance aux machines de leurs victimes. Après l’installation de cette porte dérobée, elle a commencé à fonctionner en mode silencieux, ce qui a permis aux pirates de rester inaperçus dans le réseau et d’exécuter différentes commandes.

Au cours de leur analyse, les experts de Kaspersky Lab ont identifié plusieurs scénarios d’exploitation de cette faille par les acteurs malveillants. Tout d’abord, la vulnérabilité a été exploitée pour fournir des logiciels malveillants pour le minage des monnaies cryptographiques. Mais en plus de l’exploitation de la vulnérabilité à cette fin, les chercheurs de l’entreprise de sécurité rapportent avoir trouvé des archives contenant un cache local de Telegram qui avait été volé aux victimes. En outre, les pirates auraient également utilisé cette faille pour installer d’autres types de logiciels malveillants et de logiciels espions généraux sur les postes des victimes.

Selon Alexey Firsh, chercheur chez Kaspersky Lab, « la popularité des services de messagerie instantanée est incroyablement élevée, et il est extrêmement important que les développeurs fournissent une protection adéquate à leurs utilisateurs afin qu’ils ne deviennent pas des cibles faciles pour les criminels. »

Dans le cas de Telegram, le fait que l’application soit utilisée par un grand nombre d’utilisateurs (plus de 100 millions d’utilisateurs actifs selon les chiffres de Statista) représente une belle opportunité de faire beaucoup d’argent en infectant les machines d’un maximum d’utilisateurs pour miner des monnaies cryptographiques.

Un point assez rassurant tout de même à relever est qu’après que Kaspersky a rapporté la faille à l’équipe de Telegram, son exploitation n’a plus été observée depuis dans les produits de messagerie.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image