Telegrab惡意軟體可以獲取Telegram的密碼、Cookie及密鑰文件

思科Talos研究人員發現了名為Telegrab的病毒，這個病毒會從telegram桌面版中竊取信息。

我們知道Telegram正受到俄羅斯媒體監督機構Roskomnadzor的攻擊，Roskomnadzor要求telegram分享技術細節以獲取用戶的聊天信息。上個月，俄羅斯當局封鎖了telegram程序，因為telegram拒絕向俄羅斯聯邦安全局提供用戶的加密密鑰。

竊取Telegram數據

分析這款惡意軟體後研究人員發現，軟體是由說俄語的黑客開發的，而目標也是俄語用戶。

惡意代碼是Telegrab惡意軟體的一個變體，Telegrab首次發現於2018年4月4日功能是收集telegram的緩存和密鑰文件。

Telegrab惡意軟體的第二個版本發現於2018年4月10日，開發團隊似乎非常活躍。

儘管Telegrab的第一個版本只會竊取文本文件，瀏覽器密碼和cookie，但第二個版本實現了竊取Telegram緩存和Steam登錄密碼、劫持telegram聊天的能力。

Talos研究人員發現，惡意代碼有意避免與匿名服務相關的IP地址。

「在過去的一個半月里，Talos已經看到一種惡意軟體的出現，它從端到端的加密即時消息服務Telegram收集緩存和密鑰文件。這款惡意軟體於2018年4月4日首次出現，並於4月10日出現第二個版本。「思科Talos發布的博客文章。

高調的黑客

病毒的作者也略顯高調，他為Telegrab發布了幾個YouTube視頻教程。甚至把部分代碼發布到了GitHub上。

惡意軟體作者使用了多個pcloud.com硬編碼帳戶來存儲泄密數據，這些被盜信息未經過加密，也就是說，信息可能被輕易泄露。

「會話劫持是它最有趣的功能，這種攻擊確實會限制會話劫持，受害者以前的聊天也會受到影響，」Talos團隊說。

病毒會在Windows硬碟上搜索Chrome密碼，會話Cookie和文本文件，然後將其壓縮並上傳到pcloud.com。

對惡意軟體分析後，研究人員把黑客和一個名叫Racoon Hacker的黑客關聯起來，這個用戶也有些其他的名字：Eyenot（Енот/ Enot）和Racoon Pogoromist。

Telegrab想要達到的目的是在不被檢測的情況下獲取大量的用戶密碼。

這類的攻擊行為往往與大規模的黑客團伙無關。竊取到的密碼可以被黑客用來登陸一些其他服務，比如vk.com，yandex.com，gmail.com，google.com等。

最近對於聊天工具的攻擊多了起來，之前也有針對Signal的攻擊。通訊軟體客戶端的保護機制值得大家的關注。

* 參考來源：SecurityAffairs，作者Sphinx，轉載註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！