Die beliebte Messenger App Telegram wird aktiv von Hackern eingesetzt, um Schadcode zu verbreiten und Fernzugriff auf betroffenen Geräte zu erlangen. Darauf weist der Sicherheitsforscher Alexey Firsh in einer Pressemitteilung des Kaspersky Lab hin. Möglich ist dies durch eine Schwachstelle, die das File Extension Spoofing in Dateinamen von versendeten Anhängen ermöglicht.
Das Vorgehen bei einer solchen Methode ist simpel: In der arabischen Welt wird von rechts nach links geschrieben und gelesen, dies bezieht sich nicht nur auf Texte, sondern auch auf Titel, Bezeichnungen und alles, was sonst noch Schriftzeichen beinhaltet – somit auch Dateinamen. Ein einfaches Beispiel für das Spoofen einer Dateierweitertung: Bei einer Datei mit dem Namen rcs.jpeg scheint es sich auf den ersten Blick um eine JPEG-Grafik zu handeln. Wenn der Dateiname allerdings in arabischer Kodierung vorliegt, muss der Dateiname von rechts nach links gelesen werden. Die Datei würde in Wirklichkeit also gepj.scr heißen und unbemerkt Schadcode ausführen können.
Auf ähnliche Art und Weise haben russische Hacker laut Alexey Firsh Malware im großen Stil verbreitet, die dann nach erfolgter Infektion der PCs zum Schürfen von Kryptowährungen wie Monero und ZCash gedient haben soll. Getarnt wurde die Schadsoftware dabei als einfache PNG-Grafik. Anfällig für diese Angriffsmethode ist lediglich die Desktop-Variante des Messengers. Telegram-Versionen unter Android und iOS sind hiervon nicht betroffen.
Eine Stellungnahme seitens der Entwickler liegt bis zum jetzigen Zeitpunkt noch nicht vor.
Quelle; tarnkappe
Das Vorgehen bei einer solchen Methode ist simpel: In der arabischen Welt wird von rechts nach links geschrieben und gelesen, dies bezieht sich nicht nur auf Texte, sondern auch auf Titel, Bezeichnungen und alles, was sonst noch Schriftzeichen beinhaltet – somit auch Dateinamen. Ein einfaches Beispiel für das Spoofen einer Dateierweitertung: Bei einer Datei mit dem Namen rcs.jpeg scheint es sich auf den ersten Blick um eine JPEG-Grafik zu handeln. Wenn der Dateiname allerdings in arabischer Kodierung vorliegt, muss der Dateiname von rechts nach links gelesen werden. Die Datei würde in Wirklichkeit also gepj.scr heißen und unbemerkt Schadcode ausführen können.
Auf ähnliche Art und Weise haben russische Hacker laut Alexey Firsh Malware im großen Stil verbreitet, die dann nach erfolgter Infektion der PCs zum Schürfen von Kryptowährungen wie Monero und ZCash gedient haben soll. Getarnt wurde die Schadsoftware dabei als einfache PNG-Grafik. Anfällig für diese Angriffsmethode ist lediglich die Desktop-Variante des Messengers. Telegram-Versionen unter Android und iOS sind hiervon nicht betroffen.
Eine Stellungnahme seitens der Entwickler liegt bis zum jetzigen Zeitpunkt noch nicht vor.
Quelle; tarnkappe