`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

На каждый Telegram найдётся свой Telegrab

0 
 

Сотрудники группы Cisco Talos сообщили, что уже в течение шести недель наблюдают в Сети новый вариант вредоносного ПО, нацеленный на мессенджер Telegram.

Эта программа (её окрестили Telegrab) была впервые обнаружена 4 апреля 2018 г., а её вторая модификация появилась всего шестью днями позже, продемонстрировав расширенную функциональность. Помимо куки и текстовых файлов, обновлённая Telegrab могла воровать данные из десктопного кэша, что позволяло ей взламывать активные сессии Telegram.

Как отмечает Cisco Talos, вредоносное ПО эксплуатирует «слабость установок по умолчанию» настольной версии Telegram, а именно, отключенную опцию автоматического выхода (auto-logout). Кроме того, в Telegram для десктопов всё ещё не реализованы секретные чаты, обеспечивающие надёжную защиту от Telegrab.

С большой степенью вероятности автором Telegrab эксперты Talos считают русскоязычного хакера, скрывающегося под ником Енот (Eyenot) или Racoon Hacker. На нескольких видео, опубликованных в YouTube, он инструктирует, как взламывать сессии Telegram, используя похищенные файлы кэша.

Подставляя эти файлы в установленный на настольном ПК Telegram, взломщик получает доступ не только к открытой сессии, но и ко всем контактам жертвы и к предыдущим чатам.

Распространяется Telegrab загрузчиками, написанными по меньшей мере на трёх различных языках — Go, AutoIT и Python — сам прототип базируется на .NET. После загрузки, первый вариант Telegrab использует исполняемый файл finder.exe, а второй — самораспаковывающийся архив RAR.

Приведённая в рабочее состояние программа ищет учётные данные браузера Chrome и куки сессии пользователя по умолчанию, а также любые имеющиеся в системе файлы .txt. Вторая версия дополнительно запускает enotproject.exe или dpapi.exe для поиска и извлечения данных Telegram и Steam и потенциального взлома активной сессии.

Telegrab также сверяет IP жертвы со своим «чёрным списком», включающим адреса в России, Китае и анонимизаторы. При обнаружении совпадения, программа прекращает взлом мессенджера.

Исследователи отмечают, что в Telegrab не предусмотрено способов остаться во взломанном компьютере. Именно это, по их мнению, позволило программе, совершающей тысячи успешных проникновений каждый месяц, оставаться незамеченной в тени ботнетов крупных криминальных организаций.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT