Telegrab恶意软件可以获取Telegram的密码、cookie及密钥文件

screen-shot-2018-05-16-at-13-51-18.jpg

screen-shot-2018-05-16-at-13-51-18.jpg

思科Talos研究人员发现了名为Telegrab的病毒,这个病毒会从telegram桌面版中窃取信息。

我们知道Telegram正受到俄罗斯媒体监督机构Roskomnadzor的攻击,Roskomnadzor要求telegram分享技术细节以获取用户的聊天信息。上个月,俄罗斯当局封锁了telegram程序,因为telegram拒绝向俄罗斯联邦安全局提供用户的加密密钥。

窃取Telegram数据

分析这款恶意软件后研究人员发现,软件是由说俄语的黑客开发的,而目标也是俄语用户。

恶意代码是Telegrab恶意软件的一个变体,Telegrab首次发现于2018年4月4日功能是收集telegram的缓存和密钥文件。

Telegrab恶意软件的第二个版本发现于2018年4月10日,开发团队似乎非常活跃。

尽管Telegrab的第一个版本只会窃取文本文件,浏览器密码和cookie,但第二个版本实现了窃取Telegram缓存和Steam登录密码、劫持telegram聊天的能力。

Talos研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。

“在过去的一个半月里,Talos已经看到一种恶意软件的出现,它从端到端的加密即时消息服务Telegram收集缓存和密钥文件。这款恶意软件于2018年4月4日首次出现,并于4月10日出现第二个版本。“思科Talos发布的博客文章。

高调的黑客

病毒的作者也略显高调,他为Telegrab发布了几个YouTube视频教程。甚至把部分代码发布到了GitHub上。

telegrab-stealer.jpg

telegrab-stealer.jpg

恶意软件作者使用了多个pcloud.com硬编码帐户来存储泄密数据,这些被盗信息未经过加密,也就是说,信息可能被轻易泄露。

“会话劫持是它最有趣的功能,这种攻击确实会限制会话劫持,受害者以前的聊天也会受到影响,”Talos团队说。

病毒会在Windows硬盘上搜索Chrome密码,会话Cookie和文本文件,然后将其压缩并上传到pcloud.com。

Telegrab-Malware.png

Telegrab-Malware.png

对恶意软件分析后,研究人员把黑客和一个名叫Racoon Hacker的黑客关联起来,这个用户也有些其他的名字:Eyenot(Енот/ Enot)和Racoon Pogoromist。

Telegrab想要达到的目的是在不被检测的情况下获取大量的用户密码。

这类的攻击行为往往与大规模的黑客团伙无关。窃取到的密码可以被黑客用来登陆一些其他服务,比如vk.com,yandex.com,gmail.com,google.com等。

最近对于聊天工具的攻击多了起来,之前也有针对Signal的攻击。通讯软件客户端的保护机制值得大家的关注。

相关推荐
新闻聚焦
猜你喜欢
热门推荐
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。