Вредоносное ПО Telegrab позволяет хакерам захватывать ключи шифрования и учетные данные браузера с сеансов Telegram декстопной версии для компьютеров. Кроме того, DHS выпустила новую стратегию кибербезопасности и многое другое.
Исследователи обнаружили новые вредоносные программы, которые нацелены на Telegram, сквозную зашифрованную службу обмена мгновенными сообщениями. Исследователи Cisco Talos заметили первую версию этой вредоносной программы, назвавшую вредоносное ПО - Telegrab.
Первая версия, по их словам, украла учетные данные браузера, файлы cookie и текстовые файлы из системы.
Вторая версия, также способна собирать кеш- файлы и файлы ключей шифрования Telegram и данные входа для веб-сайта Steam.
По словам Витора Вентура и Азима Ходжибаева, исследователей безопасности в Талосе, вредоносное ПО Telegrab не нарушает или не использует какую-либо уязвимость в Telegram.
"это влияет на настольную версию Telegram, которая не поддерживает Secret Chats и имеет слабые настройки по умолчанию». Вредоносная программа злоупотребляет отсутствием секретных чатов, которая является функцией, а не ошибкой. Рабочий стол Telegram по умолчанию не имеет активной функции автоматического выхода из системы. Эти два элемента, позволяют злоумышленнику захватить сеанс, и, следовательно, разговоры".
Вентура и Ходжибаев обнаружили серию видеороликов YouTube, в которых содержатся рекомендации по доступу и использованию данных кеш-памяти Telegram для захвата телеграмм. Они с высокой уверенностью считают, что автор видео также является автором вредоносного ПО Telegrab.
«Беглый анализ видео показывает, что Racoon (sic) Hacker является носителем русского языка и обладает передовым пониманием языка программирования Python» , - объяснил Вентура и Ходжибаев, отметив, что многие из видео, опубликованных одним и тем же автором, упоминают похожие методы к тем, которые используются в вариантах вредоносного ПО Telegrab.
Исследователи Talos заявили, что Telegrab в первую очередь нацелен на русскоязычных жертв и намеренно избегает IP-адресов, связанных с услугами анонимайзера.
«По сравнению с крупными бот-сетями, используемыми крупными преступными предприятиями, эту угрозу можно считать почти несущественной. Однако это показывает, как небольшая операция может летать под радаром и скомпрометировать тысячи учетных данных менее чем за месяц, оказывая значительное влияние на конфиденциальность жертвы », - писал Вентура и Ходжибаев, добавив, что учетные данные и файлы cookie позволяют автору вредоносного ПО получить доступ к информации о жертвах на таких сайтах, как gmail.com и google.com.