思科Talos研究人员发现了名为Telegrab的病毒,这个病毒会从telegram桌面版中窃取信息。
我们知道Telegram正受到俄罗斯媒体监督机构Roskomnadzor的攻击,Roskomnadzor要求telegram分享技术细节以获取用户的聊天信息。上个月,俄罗斯当局封锁了telegram程序,因为telegram拒绝向俄罗斯联邦安全局提供用户的加密密钥。
窃取Telegram数据
分析这款恶意软件后研究人员发现,软件是由说俄语的黑客开发的,而目标也是俄语用户。
恶意代码是Telegrab恶意软件的一个变体,Telegrab首次发现于2018年4月4日功能是收集telegram的缓存和密钥文件。
Telegrab恶意软件的第二个版本发现于2018年4月10日,开发团队似乎非常活跃。
尽管Telegrab的第一个版本只会窃取文本文件,浏览器密码和cookie,但第二个版本实现了窃取Telegram缓存和Steam登录密码、劫持telegram聊天的能力。
Talos研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。
“在过去的一个半月里,Talos已经看到一种恶意软件的出现,它从端到端的加密即时消息服务Telegram收集缓存和密钥文件。这款恶意软件于2018年4月4日首次出现,并于4月10日出现第二个版本。“思科Talos发布的博客文章。
高调的黑客
病毒的作者也略显高调,他为Telegrab发布了几个YouTube视频教程。甚至把部分代码发布到了GitHub上。
恶意软件作者使用了多个pcloud.com硬编码帐户来存储泄密数据,这些被盗信息未经过加密,也就是说,信息可能被轻易泄露。
“会话劫持是它最有趣的功能,这种攻击确实会限制会话劫持,受害者以前的聊天也会受到影响,”Talos团队说。
病毒会在Windows硬盘上搜索Chrome密码,会话Cookie和文本文件,然后将其压缩并上传到pcloud.com。
对恶意软件分析后,研究人员把黑客和一个名叫Racoon Hacker的黑客关联起来,这个用户也有些其他的名字:Eyenot(Енот/ Enot)和Racoon Pogoromist。
Telegrab想要达到的目的是在不被检测的情况下获取大量的用户密码。
这类的攻击行为往往与大规模的黑客团伙无关。窃取到的密码可以被黑客用来登陆一些其他服务,比如vk.com,yandex.com,gmail.com,google.com等。
最近对于聊天工具的攻击多了起来,之前也有针对Signal的攻击。通讯软件客户端的保护机制值得大家的关注。
* 参考来源:SecurityAffairs,作者Sphinx,转载注明来自FreeBuf.COM
来源:freebuf.com 2018-05-22 13:00:50 by: Sphinx
请登录后发表评论
注册