image

Telegram-gebruikers op Windows waren doelwit RTLO-aanval

dinsdag 13 februari 2018, 11:48 door Redactie, 3 reacties

Gebruikers van de Windows-versie van de chatt-app Telegram waren vorig jaar gedurende enkele maanden het doelwit van een RTLO-aanval, zo laat anti-virusbedrijf Kaspersky Lab weten. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid.

Als voorbeeld noemen de onderzoekers een bestand met de naam photo_high_re[unicode-karakter]gnp.js dat een aanvaller naar een doelwit had kunnen sturen. Door het gebruik van het unicode-karakter kregen Telegram-gebruikers de bestandsnaam photo_high_resj.png te zien. Hierdoor lijkt het om een afbeelding te gaan, terwijl het in werkelijkheid een JavaScript-bestand is. Bij het openen van het JavaScript-bestand krijgen gebruikers wel een waarschuwing te zien dat het om een JavaScript-bestand gaat. Vervolgens moet de gebruiker bevestigen dat hij het bestand wil openen. Wanneer dit wordt gedaan zal het JavaScript-bestand malware op het systeem installeren.

Via de malware hadden aanvallers volledige controle over het systeem en konden aanvullende modules installeren. Het ging onder andere om modules die de besmette computer naar cryptovaluta lieten mijnen. Kaskersy Lab ontdekte de aanval in oktober vorig jaar. Verder onderzoek wees uit dat de aanvallen tegen de Windows-versie van Telegram sinds maart 2017 plaatsvonden. Na te zijn ingelicht heeft Telegram het probleem verholpen zodat RTLO-aanvallen niet meer werken en de werkelijke bestandsnaam wordt weergegeven. Of ook andere Telegram-versies kwetsbaar waren kan Kaspersky Lab niet zeggen.

Image

Reacties (3)
13-02-2018, 12:26 door Anoniem
Windows, what else....
13-02-2018, 15:20 door Anoniem
Door Anoniem: Windows, what else....
Originele reactie, what else ....
13-02-2018, 16:47 door CykoByte_t
Zie deze pagina over hoe de security policy editor te gebruiken om RTLO aanvallen te mitigeren: https://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.