Олика Янат

Вирус Telegrab атакует русскоязычных пользователей Telegram Desktop

Сеансы Telegram, контакты и предыдущие чаты подвержены риску заражения вредоносными программами.

©Cisco Talos
©Cisco Talos

Исследователи обнаружили новое вредоносное ПО, предназначенное для сбора информации из мессендежера Telegram.

Представители Cisco Talos Витор Вентура и Азим Ходжибаев сказали, что в течение последних шести недель команда мониторила появление так называемого Telegrab.

Это вредоносное ПО было разработано для сбора кэш-файлов и ключей из зашифрованной службы обмена сообщениями. Вредоносный код был впервые обнаружен 4 апреля 2018 года, а через шесть дней была замечена его вторая версия.

В то время как первая версия Telegrab украла только текстовые файлы, учетные данные браузера и файлы cookie, вторая также добавила новые функции, которые позволили вредоносной программе собирать данные из кэша настольной версии Telegram вместе с учетными данными входа в Steam, чтобы захватить активные сеансы мессенджера.

Захват сессий — самая интересная особенность этой вредоносной программы. Даже с ограничениями эта атака позволяет захватить текущую сессию, а вместе с ней контакты жертв и предыдущие чаты, — говорит команда.

Вредоносная программа влияет на настольную версию Telegram. Однако это не уязвимость системы безопасности, уверены эксперты.

Cisco Talos обвиняет «слабые настройки по умолчанию» в этой версии службы чата, а вредоносное ПО также злоупотребляет отсутствием секретных чатов, которые недоступны в браузере.

Вредоносная программа злоупотребляет отсутствием секретных чатов, которых нет в web-версии, а не является ошибкой, — говорят исследователи. — Telegram Desktop по умолчанию не имеет активной функции автоматического выхода из системы. Эти два элемента вместе позволяют злоумышленнику захватить сеанс и, следовательно, переписки.

В своем FAQ-листе Telegram говорит:

Секретные чаты требуют постоянного хранения на устройстве, что Telegram Desktop и Telegram Web в настоящий момент не поддерживают. Мы можем добавить это в будущем. В настоящее время как настольные, так и веб-приложения загружают сообщения из облака при запуске и сбрасывают их, когда вы выходите.
Поскольку секретные чаты не являются частью облака, это будет «убивать» их каждый раз, когда вы завершаете работу своего компьютера.

Изучение того, как работает вредоносное программное обеспечение, привело команду к тому, кто, по их мнению, является автором угрозы. С «высокой уверенностью» исследователи утверждают, что вредоносное ПО создал хакер, известный под ником «Racoon Hacker» и «Eyenot».

Несколько видеороликов YouTube, которые, как полагают, были отправлены Eyenot, инструктируют о том, как захватить сеансы Telegram с помощью украденных файлов кэша.

Таким образом, путем восстановления кэша и карты файлов Telegram Desktop, если сеанс был открыт, будет возможно получить доступ к сеансу, контактам и предыдущим чатам пользователя, — говорят исследователи.

Оператор, стоящий за этим вредоносным программным обеспечением, использует жестко закодированные учетные записи pcloud.com для хранения эксфильтрованных данных. Эта информация не зашифрована, поэтому, если у посетителя есть правильные учетные данные, он может загрузить всю предоставленную информацию и затем получить доступ к похищенным данным через программное обеспечение мессенджера.

По словам Talos, вредоносное ПО, как правило, нацелено на русскоязычных жертв.

©ZDNet
©ZDNet

Telegrab распространяют через загрузчиков, написанных, по крайней мере, тремя разными языками программирования — AutoIT, Go и Python, а также версии на основе DotNet.

После загрузки первый вид вредоносного ПО применяет файл, называемый finder.exe, другая версия вируса использует самораспаковывающийся .RAR.

После установки вредоносной программы, Telegrab ищет учетные данные браузера и cookie-файлы сеанса по умолчанию, а также все .txt файлы, присутствующие в системе.

Второй вариант также применяет дополнительные файлы enotproject.exe или dpapi.exe, чтобы находить и анализировать данные Telegram и Steam, а также потенциально захватывать сеанс Telegram.

Вредоносное ПО также проверяет IP-адрес жертвы. Если IP-адрес находится в черном списке, который содержит адреса из Китая, России или анонимных служб, Telegrab выйдет и перестанет предпринимать попытки кражи данных.

Механизм персистентности отсутствует, и, похоже, операторы заинтересованы только в краже данных, не внося в них никакие изменения.

По сравнению с масштабными бот-сетями, используемыми крупными преступными группировками, эту угрозу можно считать почти несущественной, — говорят исследователи. — Тем не менее, она показывает, как небольшая операция может скомпрометировать тысячи учетных данных менее чем за месяц, оказывая значительное влияние на конфиденциальность жертв.

Telegram пока не дал комментариев по данному вопросу.