EVILLOADER [CVE-2024-7014] *Credit: 0x6rss*
Evilloader - это загрузчик, который позволяет злоумышленникам загружать и запускать дополнительные вредоносные полезные нагрузки в целевых системах. CVE-2024-7014 описывает обновление механизмов антианализа этого модуля. Файл с расширением ".htm" маскируется под видео и отправляется через Telegram API, и пока пользователь ожидает видео, на самом деле выполняется JavaScript-код внутри HTML.
Основная причина уязвимости заключается в том, что формат файла ".htm" в ответе на серверы Telegram воспринимается как видео. Фрагмент кода ".htm" открывается в браузере под "контент://". Это: content://org.telegram.messenger.provider/media/android/data/org.telegram.messenger/Telegram.povider/Telegram%20Видео/4298942894727273.htm Контент открывается, что позволяет срабатывать и открывать указанную HTML-страницу.