{"id":10015,"date":"2018-02-16T12:39:39","date_gmt":"2018-02-16T12:39:39","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10015"},"modified":"2020-05-07T17:33:26","modified_gmt":"2020-05-07T17:33:26","slug":"telegram-rlo-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/telegram-rlo-vulnerability\/10015\/","title":{"rendered":"Des images malveillantes sur Telegram"},"content":{"rendered":"

Les applications de messagerie sont non seulement utiles pour rester en contact avec d\u2019autres, mais elles constituent \u00e9galement une porte ouverte par laquelle des intrus peuvent p\u00e9n\u00e9trer dans nos vies. J\u2019ai l\u2019impression que c\u2019\u00e9tait hier que nous parlions de Skygofree, le cheval de Troie d\u2019Android<\/a> qui espionne \u00e0 travers Facebook Messenger, Skype, Viber, WhatsApp et d\u2019autres plates-formes. Aujourd\u2019hui, nous allons parler d\u2019une nouvelle infection multifonctionnelle d\u00e9tect\u00e9e par nos experts. Elle s\u2019attaque aux ordinateurs de bureau et se r\u00e9pand \u00e0 travers Telegram de mani\u00e8re tr\u00e8s ing\u00e9nieuse \u00e9galement.<\/p>\n

\"\"<\/p>\n

Le malware devient une image de chaton !<\/strong><\/h2>\n

L\u2019une des principales t\u00e2ches des cr\u00e9ateurs de chevaux de Troie est de persuader les utilisateurs d\u2019ex\u00e9cuter les malwares. Pour ce faire, ils utilisent toute une s\u00e9rie de techniques pour faire passer pour inoffensifs des fichiers dangereux.<\/p>\n

En ce qui concerne cette astuce particuli\u00e8re, gardez \u00e0 l\u2019esprit que certaines langues s\u2019\u00e9crivent de droite \u00e0 gauche, comme l\u2019arabe et l\u2019h\u00e9breu, et qu\u2019Unicode, la norme informatique et l\u2019ensemble presque omnipr\u00e9sent des caract\u00e8res, fournit un moyen de changer la direction des mots \u00e9crits. Si vous utilisez un caract\u00e8re sp\u00e9cial invisible, la cha\u00eene de lettres qui suit s\u2019affiche automatiquement dans l\u2019ordre inverse. C\u2019est ce que les pirates informatiques ont exploit\u00e9 lors d\u2019une attaque r\u00e9cente.<\/p>\n

Supposons qu\u2019un cybercriminel cr\u00e9e un fichier malveillant appel\u00e9 Trojan.js. Comme vous pouvez le voir gr\u00e2ce \u00e0 l\u2019extension JS, il s\u2019agit d\u2019un fichier JavaScript, et il peut contenir n\u2019importe quel code ex\u00e9cutable. Un utilisateur prudent se m\u00e9fiera automatiquement et ne l\u2019ex\u00e9cutera pas. Mais l\u2019escroc peut le renommer \u2013 par exemple : chaton_mignon*U+202E*gnp.js.<\/p>\n

Cela semblerait encore pire \u00e0 notre utilisateur\u2026 sauf qu\u2019ici, U+202E est le caract\u00e8re Unicode apr\u00e8s lequel les lettres et les signes de ponctuation sont affich\u00e9s de gauche \u00e0 droite. Le nom du fichier sera par cons\u00e9quent affich\u00e9 comme suit : chaton_mignonsj.png. <\/strong>L\u2019extension du fichier semble \u00e0 pr\u00e9sent \u00eatre PNG ; on dirait un fichier d\u2019image parfaitement normal, mais en r\u00e9alit\u00e9, il s\u2019agit d\u2019un cheval de Troie JavaScript.<\/p>\n

Cette technique utilisant Unicode n\u2019est pas nouvelle. Elle est utilis\u00e9e pour masquer des pi\u00e8ces jointes d\u2019e-mails et des t\u00e9l\u00e9chargements de fichiers depuis pr\u00e8s d\u2019une d\u00e9cennie<\/a>, et de nombreux environnements se prot\u00e8gent d\u00e9j\u00e0 contre celle-ci. Mais quand Telegram a \u00e9t\u00e9 vis\u00e9 pour la premi\u00e8re fois, \u00e7a a march\u00e9. Autrement dit, Telegram a (ou plut\u00f4t avait) la vuln\u00e9rabilit\u00e9 dite RLO, et c\u2019est cela que nos chercheurs ont remarqu\u00e9.<\/p>\n

L\u2019image de chaton devient un mineur ou une porte d\u00e9rob\u00e9e<\/strong><\/h3>\n

La vuln\u00e9rabilit\u00e9 n\u2019a \u00e9t\u00e9 d\u00e9tect\u00e9e que dans le client Telegram Windows et pas dans les applications mobiles. Nos experts ont d\u00e9couvert non seulement son existence, mais aussi que les attaquants l\u2019utilisaient activement. Les syst\u00e8mes d\u2019exploitation des victimes doivent les avertir s\u2019ils sont sur le point d\u2019ex\u00e9cuter un programme d\u2019une source inconnue (ce qui doit leur mettre la puce \u00e0 l\u2019oreille), mais de nombreuses personnes cliquent sur Ex\u00e9cuter<\/em> sans m\u00eame regarder le message.<\/p>\n

\"\"

Si vous voyez une fen\u00eatre comme celle-ci, arr\u00eatez-vous et r\u00e9fl\u00e9chissez. Ou plut\u00f4t, arr\u00eatez-vous tout court.<\/p><\/div>\n

Une fois lanc\u00e9, le malware montre vraiment un \u00ab\u00a0chaton mignon\u00a0\u00bb pour \u00e9loigner toutes les suspicions. Le cheval de Troie est livr\u00e9 avec diff\u00e9rents types de charge utile \u00e0 ex\u00e9cuter en cachette, selon sa configuration.<\/p>\n

Les plus courantes sont les mineurs cach\u00e9s<\/a>. Quand ils sont ex\u00e9cut\u00e9s, l\u2019ordinateur ralentit, surchauffe et finit g\u00e9n\u00e9ralement par s\u2019endommager en essayant de miner des devises chiffr\u00e9es pour les attaquants. L\u2019alternative, c\u2019est une porte d\u00e9rob\u00e9e<\/a> qui permet aux cybercriminels de contr\u00f4ler l\u2019ordinateur \u00e0 distance et de faire tout ce qu\u2019ils veulent avec, de la suppression et l\u2019installation de programmes \u00e0 la collecte de donn\u00e9es personnelles. Ce type d\u2019infection peut rester cach\u00e9 longtemps sans que l\u2019utilisateur ne se doute de rien.<\/p>\n

Restez calme et continuez<\/strong><\/h3>\n

Nos chercheurs ont rapidement signal\u00e9 la vuln\u00e9rabilit\u00e9 aux d\u00e9veloppeurs de Telegram qui l\u2019ont corrig\u00e9e (au grand dam des cybercriminels qui voulaient l\u2019exploiter). Cependant, cela ne signifie certainement pas que Telegram et d\u2019autres applications de messagerie instantan\u00e9e populaires sont exempts de vuln\u00e9rabilit\u00e9s. Celles-ci n\u2019ont tout simplement pas encore \u00e9t\u00e9 signal\u00e9es. Ainsi, pour rester prot\u00e9g\u00e9 contre de futurs fl\u00e9aux, rappelez-vous quelques r\u00e8gles de s\u00e9curit\u00e9 simples. Celles-ci sont valables pour les m\u00e9dias sociaux, la messagerie instantan\u00e9e et tout autre moyen de communication \u00e9lectronique :<\/p>\n