Telegrab恶意软件可以获取Telegram的密码、cookie及密钥文件

发表于:2018-05-22 11:31:21 来源:  FreeBuf.COM 阅读数(0人)



思科Talos研究人员发现了名为Telegrab的病毒,这个病毒会从telegram桌面版中窃取信息。


我们知道Telegram正受到俄罗斯媒体监督机构Roskomnadzor的攻击,Roskomnadzor要求telegram分享技术细节以获取用户的聊天信息。上个月,俄罗斯当局封锁了telegram程序,因为telegram拒绝向俄罗斯联邦安全局提供用户的加密密钥。


窃取Telegram数据


分析这款恶意软件后研究人员发现,软件是由说俄语的黑客开发的,而目标也是俄语用户。


恶意代码是Telegrab恶意软件的一个变体,Telegrab首次发现于2018年4月4日功能是收集telegram的缓存和密钥文件。


Telegrab恶意软件的第二个版本发现于2018年4月10日,开发团队似乎非常活跃。


尽管Telegrab的第一个版本只会窃取文本文件,浏览器密码和cookie,但第二个版本实现了窃取Telegram缓存和Steam登录密码、劫持telegram聊天的能力。


Talos研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。


“在过去的一个半月里,Talos已经看到一种恶意软件的出现,它从端到端的加密即时消息服务Telegram收集缓存和密钥文件。这款恶意软件于2018年4月4日首次出现,并于4月10日出现第二个版本。“思科Talos发布的博客文章。

高调的黑客


病毒的作者也略显高调,他为Telegrab发布了几个YouTube视频教程。甚至把部分代码发布到了GitHub上。




恶意软件作者使用了多个pcloud.com硬编码帐户来存储泄密数据,这些被盗信息未经过加密,也就是说,信息可能被轻易泄露。


“会话劫持是它最有趣的功能,这种攻击确实会限制会话劫持,受害者以前的聊天也会受到影响,”Talos团队说。

病毒会在Windows硬盘上搜索Chrome密码,会话Cookie和文本文件,然后将其压缩并上传到pcloud.com。




对恶意软件分析后,研究人员把黑客和一个名叫Racoon Hacker的黑客关联起来,这个用户也有些其他的名字:Eyenot(Енот/ Enot)和Racoon Pogoromist。


Telegrab想要达到的目的是在不被检测的情况下获取大量的用户密码。


这类的攻击行为往往与大规模的黑客团伙无关。窃取到的密码可以被黑客用来登陆一些其他服务,比如vk.com,yandex.com,gmail.com,google.com等。


最近对于聊天工具的攻击多了起来,之前也有针对Signal的攻击。通讯软件客户端的保护机制值得大家的关注。


相关新闻

大家都在学

课程详情

常见Web漏洞解析

课程详情

小白入门之旅

课程详情

信息安全基础