freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Telegrab恶意软件可以获取Telegram的密码、cookie及密钥文件
2018-05-22 13:00:50
所属地 上海

screen-shot-2018-05-16-at-13-51-18.jpg

思科Talos研究人员发现了名为Telegrab的病毒,这个病毒会从telegram桌面版中窃取信息。

我们知道Telegram正受到俄罗斯媒体监督机构Roskomnadzor的攻击,Roskomnadzor要求telegram分享技术细节以获取用户的聊天信息。上个月,俄罗斯当局封锁了telegram程序,因为telegram拒绝向俄罗斯联邦安全局提供用户的加密密钥。

窃取Telegram数据

分析这款恶意软件后研究人员发现,软件是由说俄语的黑客开发的,而目标也是俄语用户。

恶意代码是Telegrab恶意软件的一个变体,Telegrab首次发现于2018年4月4日功能是收集telegram的缓存和密钥文件。

Telegrab恶意软件的第二个版本发现于2018年4月10日,开发团队似乎非常活跃。

尽管Telegrab的第一个版本只会窃取文本文件,浏览器密码和cookie,但第二个版本实现了窃取Telegram缓存和Steam登录密码、劫持telegram聊天的能力。

Talos研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。

“在过去的一个半月里,Talos已经看到一种恶意软件的出现,它从端到端的加密即时消息服务Telegram收集缓存和密钥文件。这款恶意软件于2018年4月4日首次出现,并于4月10日出现第二个版本。“思科Talos发布的博客文章。

高调的黑客

病毒的作者也略显高调,他为Telegrab发布了几个YouTube视频教程。甚至把部分代码发布到了GitHub上。

telegrab-stealer.jpg

恶意软件作者使用了多个pcloud.com硬编码帐户来存储泄密数据,这些被盗信息未经过加密,也就是说,信息可能被轻易泄露。

“会话劫持是它最有趣的功能,这种攻击确实会限制会话劫持,受害者以前的聊天也会受到影响,”Talos团队说。

病毒会在Windows硬盘上搜索Chrome密码,会话Cookie和文本文件,然后将其压缩并上传到pcloud.com。

Telegrab-Malware.png

对恶意软件分析后,研究人员把黑客和一个名叫Racoon Hacker的黑客关联起来,这个用户也有些其他的名字:Eyenot(Енот/ Enot)和Racoon Pogoromist。

Telegrab想要达到的目的是在不被检测的情况下获取大量的用户密码。

这类的攻击行为往往与大规模的黑客团伙无关。窃取到的密码可以被黑客用来登陆一些其他服务,比如vk.com,yandex.com,gmail.com,google.com等。

最近对于聊天工具的攻击多了起来,之前也有针对Signal的攻击。通讯软件客户端的保护机制值得大家的关注。

* 参考来源:SecurityAffairs,作者Sphinx,转载注明来自FreeBuf.COM

# Cookie # telegram # Telegrab
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者