思科Talos研究人員發現了名為Telegrab的病毒, 這個病毒會從telegram桌上出版中竊取資訊。
我們知道Telegram正受到俄羅斯媒體監督機構Roskomnadzor的攻擊, Roskomnadzor要求telegram分享技術細節以獲取使用者的聊天資訊。 上個月, 俄羅斯當局封鎖了telegram程式, 因為telegram拒絕向俄羅斯聯邦安全局提供用戶的加密金鑰。
竊取Telegram資料
分析這款惡意軟體後研究人員發現, 軟體是由說俄語的駭客開發的, 而目標也是俄語使用者。
惡意程式碼是Telegrab惡意軟體的一個變體, Telegrab首次發現於2018年4月4日功能是收集telegram的緩存和金鑰檔。
Telegrab惡意軟體的第二個版本發現於2018年4月10日, 開發團隊似乎非常活躍。
儘管Telegrab的第一個版本只會竊取文字檔, 流覽器密碼和cookie, 但第二個版本實現了竊取Telegram緩存和Steam登錄密碼、劫持telegram聊天的能力。
Talos研究人員發現, 惡意程式碼有意避免與匿名服務相關的IP位址。
“在過去的一個半月裡, Talos已經看到一種惡意軟體的出現, 它從端到端的加密即時消息服務Telegram收集緩存和金鑰檔。 這款惡意軟體於2018年4月4日首次出現, 並於4月10日出現第二個版本。 “思科Talos發佈的博客文章。
高調的駭客
病毒的作者也略顯高調, 他為Telegrab發佈了幾個YouTube視頻教程。 甚至把部分代碼發佈到了GitHub上。
惡意軟體作者使用了多個pcloud.com硬編碼帳戶來存儲洩密資料, 這些被盜資訊未經過加密, 也就是說, 資訊可能被輕易洩露。
“會話劫持是它最有趣的功能,
病毒會在Windows硬碟上搜索Chrome密碼, 會話Cookie和文字檔, 然後將其壓縮並上傳到pcloud.com。
對惡意軟體分析後, 研究人員把駭客和一個名叫Racoon Hacker的駭客關聯起來, 這個用戶也有些其他的名字:Eyenot(Енот/ Enot)和Racoon Pogoromist。
Telegrab想要達到的目的是在不被檢測的情況下獲取大量的使用者密碼。
這類的攻擊行為往往與大規模的駭客團夥無關。 竊取到的密碼可以被駭客用來登陸一些其他服務, 比如vk.com, yandex.com, gmail.com, google.com等。
最近對於聊天工具的攻擊多了起來, 之前也有針對Signal的攻擊。 通訊軟體用戶端的保護機制值得大家的關注。
* 參考來源:SecurityAffairs, 作者Sphinx, 轉載注明來自FreeBuf.COM