Как пишет газета "Коммерсант", уязвимость заключалась в использовании атаки RLO (right-to-left override) - непечатного символа кодировки Unicode, зеркально отражающего направление знаков. Обычно его применяют при работе с языками, в которых текст идет справа налево, однако злоумышленники могут использовать RLO по-другому: он меняет порядок символов в названии файла, а значит, и его расширение. Таким образом, жертвы скачивали вредоносный софт под видом картинки и сами запускали его, не подозревая, что это исполняемый файл.
По мнению экспертов, хакеры использовали уязвимость в Windows-клиенте Telegram для установки бэкдора на ПК пользователей. С его помощью злоумышленники могли устанавливать шпионское ПО и скачивать локальный кэш мессенджера - на серверах хакеров были обнаружены архивы, содержавшие среди прочего материалы из переписки в зашифрованном виде. Также уязвимость эксплуатировалась для майнинга ряда криптовалют, включая Monero, Zcash, Fantomcoin и другие.
Как отметили в компании, результаты расследования позволяют предположить, что уязвимость использовали русскоязычные хакеры. Об этом свидетельствует наличие строк на русском в коде вредоносных программ, а также русские имена и слова в адресах электронных почтовых ящиков, которыми пользовались злоумышленники. Кроме того, все случаи эксплуатации уязвимости были зафиксированы в России.
"Обнаружив эту уязвимость, наши исследователи сообщили о ней разработчикам Telegram, которые ее устранили, - использовать именно этот трюк именно в этом мессенджере у мошенников уже не получится. Однако это ни в коем случае не значит, что уязвимостей в Telegram или других популярных мессенджерах не осталось, - просто о них пока никто не сообщал", - говорится в блоге компании.
Как и всегда в подобных случаях, в "Лаборатории Касперского" посоветовали пользователям не скачивать и не открывать файлы сомнительного происхождения и установить защитное ПО.
Позднее информацию о найденной уязвимости прокомментировал в своем Telegram-канале основатель мессенджера Павел Дуров. По его словам, сообщение "Лаборатории Касперского" было несколько преувеличено для привлечения внимания СМИ. Также Дуров привел публикацию с канала Telegram Geeks, в которой подчеркивается, что речь идет не о реальной уязвимости, которая может быть использована хакерами без ведома пользователей, а о фишинге, при котором жертва должна скачать замаскированный вредоносный файл.