Исследователи из Cisco Talos обнаружили вредоносную программу, которая взламывает десктопную версию Telegram и крадет cookie браузера Chrome. Она также интересуется данными аккаунтов Steam, пытаясь получить логины и пароли пользователей. Эксперты не раскрывают детали атаки на клиентов игрового сервиса, но подробно рассказали о методах компрометации Telegram.

Программа способна похитить список контактов, а также переписку пользователя, получив доступ к кэшу текущего сеанса мессенджера. Информация, собранная экспертами, позволяет утверждать, что за приложением, получившим название Telegrab, стоит русскоязычный киберпреступник.

Зловред не использует уязвимости мессенджера — в FAQ, размещенном на сайте Telegram, разработчики предупреждают, что секретные чаты недоступны в десктопном варианте приложения. Данные о предыдущих сообщениях загружаются из облака при старте программы и удаляются после ее завершения.

По умолчанию Telegram не прекращает текущий сеанс после закрытия активного окна, а лишь сворачивает приложение в трей. Таким образом, данные открытой сессии могут храниться на локальном диске в зашифрованном кэше программы до следующей перезагрузки компьютера. Telegrab декодирует эту информацию и отправляет ее злоумышленнику.

Данные, полученные в результате взлома, собираются на одном из аккаунтов сервиса pCloud. Информация хранится в незашифрованном виде, и любой, кто обладает доступом к архиву, может ознакомиться с перепиской жертв атаки.

Telegrab распространяется при помощи нескольких загрузчиков, написанных на разных языках программирования. Исследователи обнаружили варианты с кодом на Go, AutoIT и Python, а также .NET-версию зловреда. Его первые экземпляры использовали файл finder.exe, однако впоследствии злоумышленник перешел на самораспаковывающиеся RAR-архивы.

После установки Telegrab ищет учетные данные и файлы cookie пользователей Chrome, а также любые .txt-файлы, имеющиеся на диске. Для компрометации Telegram и Steam зловред дополнительно загружает компоненты enotproject.exe или dpapi.exe.

Как утверждают эксперты, автором Telegrab является русскоязычный киберпреступник, известный под никами Racoon Hacker, Racoon Pogoromist или Енот.

На это указывает кириллическая кодировка, используемая при расшифровке данных, названия переменных в коде программы и ряд других признаков. Злоумышленник разместил на YouTube несколько видео, разъясняющих технологию кражи данных в Telegram, а также опубликовал статью о взломе мессенджера на одном из хакерских форумов.

Популярность Telegram делает его желанной целью для киберпреступников. Не так давно «Лаборатория Касперского» нашла в мессенджере серьезный баг, при помощи которого злоумышленники распространяли вредоносное ПО. Эксплойт применял RLO — непечатный символ Unicode, меняющий порядок отображения имени файла для маскировки зловреда.

Категории: Вредоносные программы, Главное