Эксперты «Лаборатории» отмечают, что все случаи эксплуатации уязвимости были зафиксированы в России, поэтому специалисты считают, что ее использовали русскоязычные хакеры.
«Злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносное ПО. "Лаборатория Касперского" уведомила разработчиков мессенджера о проблеме, на сегодняшний день уязвимость закрыта», — рассказали представители компании.
Мошенники пользовались уязвимостью, чтобы устанавливать бекдора, который позволяет получить удаленный доступ к компьютеру жертвы и распространять софт для скрытого майнинга. Помимо этого хакеры скачивали кэш мессенджера, в том числе документы, аудио- и видеозаписи, фотографии.
Уязвимость заключалась в использовании атаки right-to-left override (RLO) — это символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков. «Злоумышленники могут его использовать для того, чтобы вводить в заблуждение пользователей: RLO меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл», — объяснили представили «Лаборатории».