Hacker installieren Krypto-Miner über Telegram

CyberkriminalitätSicherheit

Betroffen ist die Desktop-App für Windows. Das Leck wird seit März 2017 genutzt. Inzwischen hat Telegram den Fehler behoben.

Kaspersky Lab hat eine Zero-Day-Lücke in der Telegram-Desktop-App für Windows entdeckt. Sie wurde bereits seit Monaten von Cyberkriminellen ausgenutzt, die über die Anfälligkeit eine neuartige Schadsoftware verbreiteten. Sie ist in der Lage, eine Hintertüre einzurichten oder auch verschiedene Kryptowährungen zu schürfen.

Messenger Telegram (Grafik: Telegram)

Die Forscher gehen davon aus, dass die Schwachstelle nur einer angeblich aus Russland stammenden Gruppe bekannt war, die sie seit März 2017 für ihre Zwecke nutzte. Wie lange der Fehler schon in der Windows-App von Telegram steckt, ist nicht bekannt. Das Loch ist jedoch inzwischen gestopft.

Ausgewähltes Whitepaper

EMM – ein nützliches Werkzeug zur Einhaltung der DSGVO

Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können.

Angreifbar war eine Funktion zur Verarbeitung von Schriften wie Hebräisch und Arabisch, die von rechts nach links gelesen werden. Dadurch war es möglich, Nutzern schädliche Dateien unterzuschieben und den eigentlichen Dateinamen inklusive Dateiendung zu vertuschen beziehungsweise als eine harmlose Datei auszugeben. Statt augenscheinlich eines Bilds im PNG-Format erhielten Nutzer in Wahrheit beispielsweise eine JavaScript-Datei, die bei ihrer Ausführung Schadcode einschleuste.

Um die Kontrolle über ein System zu übernehmen, schleusten die Cyberkriminellen einen in .NET geschriebenen Downloader ein, der wiederum die Telegram-API nutzte, um einen Autostart-Eintrag in der Registry anzulegen. Die so eingerichtete Hintertür erlaubte es den Hintermännern, Dateien von einem infizierten System herunterzuladen oder zu löschen, oder auch den Browserverlauf auszulesen. Weitere Befehle waren demnach geeignet, um zusätzliche Malware wie Keylogger zu installieren.

Zusätzlich zur Hintertür richtete die Schadsoftware aber auch Miner für verschiedene Kryptowährungen ein, darunter Monero, ZCash und Fantomcoin. Wie viel virtuelles Geld die Hacker seit März 2017 generierten, konnte Kaspersky nicht ermitteln.

Veranstaltungshinweis

SolarWinds Roadshow: 15. Mai in Düsseldorf – 16. Mai in Berlin – 17. Mai in Hamburg

Zusammen mit NetMediaEurope veranstaltet Solarwinds eine Vortragsreihe zum Thema "Einheitliches Monitoring für die IT-Komplexität von heute. Der Eintritt ist frei.

Wann die Zero-Day-Lücke entdeckt wurde, teilte Kaspersky ebenfalls nicht mit. Seitdem wurden jedoch keine aktiven Angriffe beobachtet. Die Herkunft der Hacker vermutet Kaspersky in Russland, weil der Schadcode Befehle in russischer Sprache enthält und alle Infektionen mit der Malware russische Systeme betrafen.

Um sich vor solchen Angriffen zu schützen, sollten Nutzer die auch sonst geltenden Regeln beachten. Unter anderem sollten sie es vermeiden, Dateien aus nicht bekannten Quellen herunterzuladen oder auch auf Links zu klicken, die sie nicht explizit angefordert haben.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.