เตือนช่องโหว่ Zero-day บน Telegram Messenger แพร่มัลแวร์ทำ Crypto-mining

Alexey Firsh นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน Telegram แอปพลิเคชันรับส่งข้อความเข้ารหัสแบบ End-to-end ยอดนิยม ซึ่งถูกแฮ็กเกอร์ให้แพร่กระจายมัลแวร์เพื่อลอบขุดเหรียญดิจิทัล Monero และ ZCash

ช่องโหว่นี้ค้นพบครั้งแรกเมื่อเดือนตุลาคม 2017 ที่ผ่านมา โดยส่งผลกระทบเฉพาะซอฟต์แวร์ Telegram บน PC ที่รันระบบปฏิบัติการ Windows เท่านั้น ล่าสุดพบว่ามีแฮ็กเกอร์บางกลุ่มใช้ช่องโหว่ดังกล่าวเพื่อหลอกผู้ใช้ให้ดาวน์โหลดมัลแวร์ประเภท Cryptominer มาติดตั้ง แล้วขโมยทรัพยากรเครื่องของเหยื่อไปขุดเหรียญ Monero และ ZCash รวมไปถึงติดตั้ง Backdoor เพื่อให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้

จากการตรวจสอบพบว่าช่องโหว่ดังกล่าวมีสาเหตุมาจากการที่ซอฟต์แวร์ Telegram บน Windows จัดการกับ RLO (Right-to-left Override) Unicode Character (U+202E) ไม่ดีเพียงพอ ทำให้เกิดการอ่านชื่อไฟล์ผิดพลาด เป็นการอ่านชื่อไฟล์กลับหลัง เช่น ไฟล์ชื่อ photo_high_re*U+202E*gnp.js ซึ่งเป็นไฟล์ JavaScript จะถูกอ่านเป็น photo_high_resj.png ซึ่งเป็นไฟล์รูปภาพแทน ผลลัพธ์คือ ผู้ใช้อาจเข้าใจผิดนึกว่าดาวน์โหลดไฟล์รูปภาพเข้ามา แต่กลับกลายเป็นสคริปต์มัลแวร์แทน

Firsh เชื่อว่ามีเพียงแฮ็กเกอร์ชาวรัสเซียเท่านั้นที่โจมตีผ่านช่องโหว่ดังกล่าว เนื่องจากรายงานการโจมตีที่ได้รับมานั้นเกิดเหตุขึ้นที่รัสเซียประเทศเดียว และร่องรอยหลายๆ อย่างของมัลแวร์ชี้ให้เห็นถึงความเชื่อมโยงกับแฮ็กเกอร์รัสเซีย

Kaspersky Lab ได้รายงานช่องโหว่ที่พบนี้ไปยัง Telegram ซึ่งก็ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว ผู้ใช้สามารถป้องกันตนเองได้โดยการไม่ดาวน์โหลดหรือเปิดไฟล์จากแหล่งที่ไม่ทราบที่มาแน่ชัด

ที่มา: https://thehackernews.com/2018/02/hackers-exploit-telegram-messenger-zero.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Supermicro เปิดตัว Server รุ่นใหม่ รองรับ AMD EPYC 7002 Series พร้อมทำลายสถิติโลก 2 รายการ

Supermicro ได้ออกมาประกาศเปิดตัวทันทีหลังจากที่ AMD เปิดตัว EPYC Rome รุ่นล่าสุด ถึง Server รุ่นใหม่ในตระกูล H12 A+ สำหรับรองรับ AMD Epyc Rome 7002 Series โดยเฉพาะ โดยมีตัวเลขเชิงประสิทธิภาพที่สูงขึ้นกว่ารุ่นก่อนเป็นอย่างมาก ดังนี้

Red Hat ประกาศเข้าร่วม RISC-V Foundation แล้ว

Red Hat ได้ประกาศเข้าร่วมเป็นส่วนหนึ่งในโครงการ RISC-V Foundation เพื่อช่วยพัฒนาเทคโนโลยี Open Source Process Instruction Set Architecture (ISA)