Telegram-App öffnet Hintertür und installiert Krypto-Miner

Kaspersky Lab hat eine Zero-Day-Lücke in der Telegram-Desktop-App für Windows entdeckt. Sie wurde bereits seit Monaten von Cyberkriminellen ausgenutzt, die über die Anfälligkeit eine neuartige Schadsoftware verbreiteten. Sie ist in der Lage, eine Hintertüre einzurichten oder auch verschiedene Kryptowährungen zu schürfen.

Die Forscher gehen davon aus, dass die Schwachstelle nur einer angeblich aus Russland stammenden Gruppe bekannt war, die sie seit März 2017 für ihre Zwecke nutzte. Wie lange der Fehler schon in der Windows-App von Telegram steckt, ist nicht bekannt. Das Loch ist jedoch inzwischen gestopft.

Angreifbar war eine Funktion zur Verarbeitung von Schriften wie Hebräisch und Arabisch, die von rechts nach links gelesen werden. Dadurch war es möglich, Nutzern schädliche Dateien unterzuschieben und den eigentlichen Dateinamen inklusive Dateiendung zu vertuschen beziehungsweise als eine harmlose Datei auszugeben. Statt augenscheinlich eines Bilds im PNG-Format erhielten Nutzer in Wahrheit beispielsweise eine JavaScript-Datei, die bei ihrer Ausführung Schadcode einschleuste.

Um die Kontrolle über ein System zu übernehmen, schleusten die Cyberkriminellen einen in .NET geschriebenen Downloader ein, der wiederum die Telegram-API nutzte, um einen Autostart-Eintrag in der Registry anzulegen. Die so eingerichtete Hintertür erlaubte es den Hintermännern, Dateien von einem infizierten System herunterzuladen oder zu löschen, oder auch den Browserverlauf auszulesen. Weitere Befehle waren demnach geeignet, um zusätzliche Malware wie Keylogger zu installieren.

Zusätzlich zur Hintertür richtete die Schadsoftware aber auch Miner für verschiedene Kryptowährungen ein, darunter Monero, ZCash und Fantomcoin. Wie viel virtuelles Geld die Hacker seit März 2017 generierten, konnte Kaspersky nicht ermitteln.

Wann die Zero-Day-Lücke entdeckt wurde, teilte Kaspersky ebenfalls nicht mit. Seitdem wurden jedoch keine aktiven Angriffe beobachtet. Die Herkunft der Hacker vermutet Kaspersky in Russland, weil der Schadcode Befehle in russischer Sprache enthält und alle Infektionen mit der Malware russische Systeme betrafen.

Um sich vor solchen Angriffen zu schützen, sollten Nutzer die auch sonst geltenden Regeln beachten. Unter anderem sollten sie es vermeiden, Dateien aus nicht bekannten Quellen herunterzuladen oder auch auf Links zu klicken, die sie nicht explizit angefordert haben.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.