Telegrab در پی اطلاعات کاربران Telegram

محققان شرکت سیسکو از شناسایی نسخه‌ای جدید از بدافزار Telegrab خبر داده‌اند که اطلاعات نگارش موسوم به Desktop پیام‌رسان Telegram را سرقت می‌کند.

نخستین نسخه از این بدافزار در اواسط فروردین ماه شناسایی شده بود.

در حالی که نسخه نخست Telegrab فایل‌های متنی، اطلاعات اصالت‌سنجی مربوط به مرورگر و کوکی‌ها را جمع‌آوری می‌کرد، نسخه دوم آن قابلیت سرقت اطلاعات کاشه شده (Cached) و فایل‌های کلید متعلق به پیامرسان Telegram را نیز در خود دارد. ضمن اینکه نسخه جدید مجهز به امکانی برای جمع‌آوری اطلاعات اصالت‌سنجی سکوی توزیع دیجیتال Steam می‌باشد.

عملاً نسخه جدید Telegrab، مهاجم را قادر به استراق نشست‌های برقرار شده (Session Hijacking) در نگارش Desktop نرم‌افزار Telegram و حتی سرقت فهرست تماس و گفتگوهای پیشین صورت گرفته در این پیام‌رسان می‌کند.

به گزارش شرکت مهندسی شبکه گستر، آنچه که Telegrab از آنها بهره می‌گیرد نه یک آسیب‌پذیری امنیتی در Telegram که تنظیمات پیش‌فرض نامناسب، فراهم نبودن امکان گفتگوی محرمانه و نبودن قابلیت خروج خودکار در نگارش Desktop این پیام‌رسان است.

محققان سیسکو، نویسنده این بدافزار را فردی روسی‌زبان معرفی کرده‌اند که با نام‌های کاربری Racoon Hacker و Eyenot در اینترنت فعالیت داشته و به گفته این محققان دانش بالایی در حوزه برنامه‌نویسی به زبان Python دارد.

نسخه نخست Telegrab با اجرای پروسه‌ای با نام finder.exe که به زبان Go نوشته شده دیسک سخت دستگاه را برای یافتن اطلاعات اصالت‌سنجی مرورگر Chrome و کوکی‌های نشست‌های برقرار شده در این مرورگر جستجو می‌کند. همچنین در حین جستجو، هر فایل با پسوند txt نیز توسط finder.exe جمع‌آوری می‌شود. finder.exe این اطلاعات را از طریق یک ابزار کدباز که در GitHub قابل دسترس است به سایت pcloud.com ارسال می‌کند.

در نسخه دوم از یک فایل خودبازشوی RAR که علاوه بر finder.exe پروسه‌ای با یکی از نام‌های notproject.exe و dpapi.exe را نیز در خود دارد بهره گرفته شده است. فایل‌های notproject.exe و dpapi.exe به زبان Python نوشته شده‌اند. این فایل‌ها ضمن جمع‌آوری داده‌های Telegram و Steam وظیفه شناسایی نشانی IP دستگاه قربانی را نیز بر عهده دارند. Telegrab با دریافت یک فایل Text که به نوعی یک فهرست سیاه برای بدافزار محسوب می‌شود نشانی IP را در فایل مذکور جستجو کرده و در صورت تطابق با یکی از موارد درج شده در آن اجرای خود را متوقف می‌کند.

این بدافزار فاقد مکانیزم ماندگاری است و بنابراین به نظر می‌رسد مهاجم آن، برنامه‌ای درازمدت و هدفمند برای سرقت این اطلاعات ندارد. هر چند که همین تهدید نسبتاً ساده و بی‌برنامه توانسته طی حدود دو ماه اطلاعات تعداد قابل توجهی از کاربران را سرقت کند.

مشروح گزارش سیسکو در لینک زیر قابل دریافت و مطالعه است:

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *