Une faille zero-day a été exploitée pour diffuser des chevaux de Troie

Des pirates russes ont réussi à infecter des PC grâce à des chevaux de Troie en exploitant une faille zero-day dans le client Windows de Telegram, et ce depuis presque un an.

Le but caché de ces attaques était d’installer des logiciels de minage ou d’espionnage. Dans certains cas, la victime peut se retrouver avec quatre mineurs lancés sur sa machine. La faille a été détectée en octobre 2017 par les chercheurs de Kaspersky Labs. Elle est liée à une mauvaise gestion de la marque droite-à-gauche («right-to-left mark» ou «right-to-left override»).

Ce caractère Unicode spécial, codifié par «U+202E», indique que les caractères qui le suivent sont à lire de droite à gauche. Le problème étant que ce caractère permet également à des pirates d’induire les utilisateurs en erreur sur la nature d’un fichier. Dans le cas présent, les pirates russes ont diffusé des fichiers qui ressemblaient à des images, mais qui en réalité étaient des fichiers exécutables. C’est ainsi que le fichier Javascript apparaît ainsi comme le fichier PNG. Si l’utilisateur télécharge ce fichier et tente de l’ouvrir, Windows affiche un message l’alertant sur le fait qu’il s’agit d’un fichier Javascript. Mais comme le nom du fichier apparaît là aussi en .PNG, on a vite fait de se tromper et de cliquer sur «exécuter». Une fois que les pirates ont mis un premier pied dans la porte, ils déroulent leurs attaques. L’un des scénarios rencontrés est l’installation d’une porte dérobée que les pirates arrivent à contrôler au travers d’un bot Telegram. Cette backdoor permet ensuite d’installer d’autres malwares tels que des enregistreurs de frappes de clavier. L’autre scénario, plus fréquent, est l’infection du poste avec des logiciels de minage.