Telegrab در پی اطلاعات کاربران Telegram
محققان شرکت سیسکو از شناسایی نسخهای جدید از بدافزار Telegrab خبر دادهاند که اطلاعات نگارش موسوم به Desktop پیامرسان Telegram را سرقت میکند.
نخستین نسخه از این بدافزار در اواسط فروردین ماه شناسایی شده بود.
در حالی که نسخه نخست Telegrab فایلهای متنی، اطلاعات اصالتسنجی مربوط به مرورگر و کوکیها را جمعآوری میکرد، نسخه دوم آن قابلیت سرقت اطلاعات کاشه شده (Cached) و فایلهای کلید متعلق به پیامرسان Telegram را نیز در خود دارد. ضمن اینکه نسخه جدید مجهز به امکانی برای جمعآوری اطلاعات اصالتسنجی سکوی توزیع دیجیتال Steam میباشد.
عملاً نسخه جدید Telegrab، مهاجم را قادر به استراق نشستهای برقرار شده (Session Hijacking) در نگارش Desktop نرمافزار Telegram و حتی سرقت فهرست تماس و گفتگوهای پیشین صورت گرفته در این پیامرسان میکند.
به گزارش شرکت مهندسی شبکه گستر، آنچه که Telegrab از آنها بهره میگیرد نه یک آسیبپذیری امنیتی در Telegram که تنظیمات پیشفرض نامناسب، فراهم نبودن امکان گفتگوی محرمانه و نبودن قابلیت خروج خودکار در نگارش Desktop این پیامرسان است.
محققان سیسکو، نویسنده این بدافزار را فردی روسیزبان معرفی کردهاند که با نامهای کاربری Racoon Hacker و Eyenot در اینترنت فعالیت داشته و به گفته این محققان دانش بالایی در حوزه برنامهنویسی به زبان Python دارد.
نسخه نخست Telegrab با اجرای پروسهای با نام finder.exe که به زبان Go نوشته شده دیسک سخت دستگاه را برای یافتن اطلاعات اصالتسنجی مرورگر Chrome و کوکیهای نشستهای برقرار شده در این مرورگر جستجو میکند. همچنین در حین جستجو، هر فایل با پسوند txt نیز توسط finder.exe جمعآوری میشود. finder.exe این اطلاعات را از طریق یک ابزار کدباز که در GitHub قابل دسترس است به سایت pcloud.com ارسال میکند.
در نسخه دوم از یک فایل خودبازشوی RAR که علاوه بر finder.exe پروسهای با یکی از نامهای notproject.exe و dpapi.exe را نیز در خود دارد بهره گرفته شده است. فایلهای notproject.exe و dpapi.exe به زبان Python نوشته شدهاند. این فایلها ضمن جمعآوری دادههای Telegram و Steam وظیفه شناسایی نشانی IP دستگاه قربانی را نیز بر عهده دارند. Telegrab با دریافت یک فایل Text که به نوعی یک فهرست سیاه برای بدافزار محسوب میشود نشانی IP را در فایل مذکور جستجو کرده و در صورت تطابق با یکی از موارد درج شده در آن اجرای خود را متوقف میکند.
این بدافزار فاقد مکانیزم ماندگاری است و بنابراین به نظر میرسد مهاجم آن، برنامهای درازمدت و هدفمند برای سرقت این اطلاعات ندارد. هر چند که همین تهدید نسبتاً ساده و بیبرنامه توانسته طی حدود دو ماه اطلاعات تعداد قابل توجهی از کاربران را سرقت کند.
مشروح گزارش سیسکو در لینک زیر قابل دریافت و مطالعه است: