思科 Talos 研究人员发现了名为 Telegrab 的病毒,这个病毒会从 telegram 桌面版中窃取信息。
Telegram 正受到俄罗斯媒体监督机构 Roskomnadzor 的攻击,Roskomnadzor 要求 telegram 分享技术细节以获取用户的聊天信息。上个月,俄罗斯当局封锁了 telegram 程序,因为 telegram 拒绝向俄罗斯联邦安全局提供用户的加密密钥。
分析这款恶意软件后研究人员发现,软件是由说俄语的黑客开发的,而目标也是俄语用户。
恶意代码是 Telegrab 恶意软件的一个变体,Telegrab 首次发现于 2018年4月4日功能是收集 telegram 的缓存和密钥文件。
Telegrab 恶意软件的第二个版本发现于2018年4月10日,开发团队似乎非常活跃。
尽管 Telegrab 的第一个版本只会窃取文本文件,浏览器密码和 cookie,但第二个版本实现了窃取 Telegram 缓存和 Steam 登录密码、劫持 telegram 聊天的能力。
Talos 研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。
“在过去的一个半月里,Talos 已经看到一种恶意软件的出现,它从端到端的加密即时消息服务 Telegram 收集缓存和密钥文件。这款恶意软件于2018年4月4日首次出现,并于4月10日出现第二个版本。“思科 Talos 发布的博客文章。
病毒的作者也略显高调,他为 Telegrab 发布了几个 YouTube 视频教程。甚至把部分代码发布到了 GitHub 上。
恶意软件作者使用了多个 pcloud.com 硬编码帐户来存储泄密数据,这些被盗信息未经过加密,也就是说,信息可能被轻易泄露。
“会话劫持是它最有趣的功能,这种攻击确实会限制会话劫持,受害者以前的聊天也会受到影响,”Talos 团队说。
病毒会在 Windows 硬盘上搜索 Chrome 密码,会话 Cookie 和文本文件,然后将其压缩并上传到 pcloud.com.
对恶意软件分析后,研究人员把黑客和一个名叫 Racoon Hacker 的黑客关联起来,这个用户也有些其他的名字:Eyenot(Енот/ Enot)和 Racoon Pogoromist。
Telegrab 想要达到的目的是在不被检测的情况下获取大量的用户密码。这类的攻击行为往往与大规模的黑客团伙无关。窃取到的密码可以被黑客用来登陆一些其他服务,比如 vk.com,yandex.com,gmail.com,google.com 等。
Comments