{"id":15900,"date":"2018-02-14T17:28:53","date_gmt":"2018-02-14T15:28:53","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15900"},"modified":"2018-12-14T10:35:48","modified_gmt":"2018-12-14T08:35:48","slug":"telegram-rlo-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/telegram-rlo-vulnerability\/15900\/","title":{"rendered":"Cyberkriminelle machen s\u00fc\u00dfe Bilder zum b\u00f6sen Spiel"},"content":{"rendered":"

Messaging-Apps k\u00f6nnen nicht nur ein n\u00fctzliches Tool sein, um mit unseren Liebsten in Kontakt zu bleiben, sondern unter Umst\u00e4nden Eindringlingen unerw\u00fcnschten Zugang zu unserem Privatleben verschaffen. Vor geraumer Zeit haben wir auf unserem Blog \u00fcber den Android-Trojaner Skygofree<\/em> berichtet<\/a>, der \u00fcber Facebook Messenger, Skype, Viber, WhatsApp und andere Plattformen Spionage betreibt. Heute m\u00f6chten wir \u00fcber eine neue multifunktionale Malware sprechen, die unsere Experten k\u00fcrzlich entdeckt haben. Sie spioniert Desktop-Computer aus und verbreitet sich \u00fcber den Instant-Messaging-Dienst Telegram \u2013 und das auf eine sehr raffinierte Art und Weise.\"\"<\/a><\/p>\n

Malware in Form<\/span><\/b> e<\/span>ines<\/span> s\u00fc\u00dfen Katzenfotos<\/span><\/b><\/span><\/h2>\n

Trojaner-Entwickler lassen sich die kuriosesten Tricks einfallen, um ihre Malware an den Mann zu bringen.<\/span><\/p>\n

F\u00fcr die Methode, die wir Ihnen in diesem Beitrag vorstellten m\u00f6chten, sollten Sie bedenken, dass einige Sprachen wie z.B. Hebr\u00e4isch und Arabisch nicht wie die westlichen Sprachen von links nach rechts, sondern von rechts nach links geschrieben und gelesen werden, und dass Unicode, Computerstandard und nahezu allgegenw\u00e4rtiger Zeichensatz, eine M\u00f6glichkeit bietet, die Richtung geschriebener W\u00f6rter zu \u00e4ndern. Sie m\u00fcssen lediglich ein spezielles, nicht sichtbares Zeichen verwenden, und schon wird die nachfolgende Zeichenfolge automatisch in umgekehrter Reihenfolge angezeigt. Genau das haben Hacker bei einem k\u00fcrzlichen Angriff ausgenutzt.<\/p>\n

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer Zero-Day-Schwachstelle in der Desktop-App des Messenger-Dienstes Telegram erfolgen.<\/p>Tweet<\/a><\/blockquote>\n

Nehmen wir an, ein Cyberkrimineller erstellt eine sch\u00e4dliche Datei namens Trojan.js. Wie Sie der JS-Erweiterung entnehmen k\u00f6nnen, handelt es sich hierbei um eine JavaScript-Datei, die m\u00f6glicherweise ausf\u00fchrbaren Code enth\u00e4lt. Ein vorsichtiger Benutzer w\u00fcrde sofort bemerken, dass hier etwas nicht stimmt. Aber zur Freude der Betr\u00fcger, k\u00f6nnen diese die Datei ganz einfach umbenennen und ihr beispielsweise folgenden Namen zuordnen: cute_kitten * U + 202E * gnp.js.<\/span><\/p>\n

\u201eU + 202E\u201c stellt in diesem Fall das Unicode-Zeichen dar, nach dem zufolge Buchstaben und Interpunktionszeichen von rechts nach links angezeigt werden. Der resultierende Dateiname wird dann also wie folgt angezeigt: cute_kittensj.png. Die Dateierweiterung scheint nun nicht mehr js., sondern PNG zu sein \u2013 eine vollkommen normale Bilddatei also. In Wirklichkeit handelt es sich allerding um einen JavaScript-Trojaner.<\/span><\/p>\n

Dieser Trick der Umbennenung mithilfe des Unicodes ist allerdings nicht neu. Vor fast einem Jahrzehnt<\/a> wurde er bereits verwendet, um b\u00f6sartige E-Mail-Anh\u00e4nge und Dateidownloads zu tarnen; viele Umgebungen sind mittlerweile davor gesch\u00fctzt. Aber als Telegram zum ersten Mal ins Visier genommen und angegriffen wurde, funktionierte die Methode einwandfrei. Mit anderen Worten, Telegram hat (oder besser gesagt, hatte) die sogenannte RLO-Schwachstelle (right to left override), die unsere Forscher ausfindig gemacht haben.<\/span><\/p>\n

Vom Katzenfoto zum Miner \/ zur Backdoor<\/span><\/span><\/h2>\n

Die Schwachstelle wurde lediglich im Windows-Client von Telegram und nicht in der mobilen App gefunden. Unsere Experten haben nicht nur die Existenz der Schwachstelle entdeckt, sondern zudem herausgefunden, dass Angreifer diese aktiv nutzen. Die Betriebssysteme der Opfer sollten diese normalerweise warnen, wenn sie eine ausf\u00fchrbare Datei von einer unbekannten Quelle ausf\u00fchren m\u00f6chten \u2013 doch viele Leute klicken ohne hinzusehen auf \u201eAusf\u00fchren\u201c.<\/span><\/p>\n

\n

\"\"<\/a><\/p>\n

Wenn Sie ein solches Fenster sehen, brechen Sie den Download bitte sofort ab<\/p>\n<\/div>\n

Wenn Sie die Malware erst einmal heruntergeladen haben, zeigt diese Ihnen tats\u00e4chlich ein \u201es\u00fc\u00dfes K\u00e4tzchen\u201c an, um beim User keinen Verdacht zu erwecken. Der Trojaner verf\u00fcgt \u00fcber verschiedene Arten von Nutzdaten, die je nach Konfiguration im Hintergrund ausgef\u00fchrt werden k\u00f6nnen.<\/span><\/p>\n

Nutzdaten-Typ eins ist ein versteckter Miner<\/a>. Wenn dieser ausgef\u00fchrt wird, wird der Computer langsamer und \u00fcberhitzt weil er versucht, Kryptow\u00e4hrung f\u00fcr die Angreifer zu sch\u00fcrfen. Nutzdaten-Typ zwei ist eine Backdoor, mit der Cyberkriminelle den Computer fernsteuern k\u00f6nnen und quasi alles tun k\u00f6nnen, wonach ihnen zumute ist; angefangen bei der Installation und Deinstallation von Programmen bis hin zur Erfassung pers\u00f6nlicher Daten. Diese Art von Infektion kann f\u00fcr eine sehr lange Zeit verborgen bleiben, ohne dass der Benutzer etwas bemerkt.<\/span><\/p>\n

Ruhig bleiben<\/h3>\n

Unsere Forscher teilten den Entwicklern von Telegram die Schwachstelle unverz\u00fcglich mit, die das Problem daraufhin behoben haben (nat\u00fcrlich sehr zum \u00c4rger der Cyberkriminellen). Dies bedeutet jedoch nicht, dass Telegram und andere beliebte Instant-Messaging-Dienste keine Sicherheitsl\u00fccken aufweisen. Sie sind schlichtweg noch nicht entdeckt oder gemeldet worden. Um sich also vor zuk\u00fcnftigen Plagen zu sch\u00fctzen, sollten Sie sich einige einfache Sicherheitsregeln noch einmal ins Ged\u00e4chtnis rufen. Diese gelten f\u00fcr Social Media, Instant Messaging und andere elektronische Kommunikationsmittel:<\/span><\/p>\n

    \n
  • Sie sollten weder Dateien riskanter Quellen herunterladen noch sollten Sie diese \u00f6ffnen. Wenn Ihnen ein Unbekannter ein Bild schickt, sollten Sie zweimal dar\u00fcber nachdenken dieses zu \u00f6ffnen.<\/li>\n
  • Wenn eine Systemwarnung beim \u00d6ffnen einer Datei erscheint, pr\u00fcfen Sie, ob die Beschreibung mit der Datei \u00fcbereinstimmt, die Sie \u00f6ffnen m\u00f6chten.<\/li>\n
  • Installieren Sie eine zuverl\u00e4ssige Sicherheitsl\u00f6sung wie Kaspersky Internet Security, die Ihnen dabei behilflich ist, Malware zu erkennen, die sich w\u00e4hrend des Downloads oder der Installation als Foto tarnt. Nat\u00fcrlich sch\u00fctzt unsere L\u00f6sung Ihren Rechner auch vor anderen Infektionen.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    Hacker verbreiten Malware \u00fcber Zero-Day-Schwachstelle in Telegram<\/p>\n","protected":false},"author":2484,"featured_media":15901,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[584,274,2745,762,1498,1653,988],"class_list":{"0":"post-15900","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-backdoor","9":"tag-bedrohungen","10":"tag-kryptowahrungen","11":"tag-mining","12":"tag-schwachstellen","13":"tag-security","14":"tag-telegram"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/telegram-rlo-vulnerability\/15900\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/telegram-rlo-vulnerability\/12539\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/telegram-rlo-vulnerability\/10388\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/telegram-rlo-vulnerability\/14680\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/telegram-rlo-vulnerability\/12975\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/telegram-rlo-vulnerability\/12475\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/telegram-rlo-vulnerability\/15328\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/telegram-rlo-vulnerability\/15051\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/telegram-rlo-vulnerability\/19644\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/telegram-rlo-vulnerability\/4729\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/telegram-rlo-vulnerability\/21164\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/telegram-rlo-vulnerability\/10015\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/telegram-rlo-vulnerability\/8937\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/telegram-rlo-vulnerability\/19553\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/telegram-rlo-vulnerability\/19610\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/telegram-rlo-vulnerability\/19629\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15900","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=15900"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15900\/revisions"}],"predecessor-version":[{"id":16698,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15900\/revisions\/16698"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/15901"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=15900"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=15900"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=15900"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}