Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mag 17, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 1
Allarme per chi usa la versione desktop di Telegram. In circolazione, infatti, c’è un malware che sembra aver preso di mira uno dei programmi di messaggistica considerato tra i più sicuri tra quelli in circolazione.
TeleGrab, come è stato battezzato dai ricercatori di Talos che ne analizzano le caratteristiche e l’origine in questo report, è in circolazione dallo scorso aprile in due versioni diverse ed è stato creato con il preciso obiettivo di rastrellare credenziali di accesso al software.
La tecnica utilizzata è piuttosto semplice e fa leva su una debolezza intrinseca (i ricercatori ci tengono a precisare che non si tratta di una vera vulnerabilità) della versione desktop dell’app di messaggistica, che non supporta la funzione di chat segreta con crittografia client-client per cui il software è diventato famoso.
Il motivo? Come spiegano sul sito di Telegram, le versioni Web e desktop dell’applicazione non memorizzano i dati delle chat in locale, ma solo su cloud. Per usare la crittografia client-client, invece, è necessario memorizzarle in locale.
TeleGrab, una volta installato sul computer, avvia un’attenta opera di raccolta di informazioni che comprendono tutti i file TXT presenti sul sistema, le credenziali di Chrome, i cookie relativi alle sessioni attive, i dati della piattaforma Steam (la più celebre piattaforma di videogame) e i dati di Telegram.
Tutte le informazioni raccolte vengono poi inviate via Internet su un servizio pccloud.com (i ricercatori di Talos hanno individuato 5 account utilizzati dal malware) senza alcuna protezione crittografica. Questo significa, tra l’altro, che chiunque dovesse ottenere accesso agli account potrebbe copiare tutti i dati che vi sono conservati.
Per quanto riguarda Telegram, la raccolta dei dati avviene attraverso la copia della cache e del file map dell’applicazione. Come fanno notare gli stessi ricercatori, i dati nella cache sono crittografati e la chiave è contenuta nel file map, a sua volta crittografato utilizzando la password dell’utente.
A meno che non conosca la password, per avere accesso ai dati il pirata informatico deve quindi per lo meno violare la crittografia del file map. Dal momento che il file è codificato con AES, gli analisti di Talos ritengono che questa operazione sia eseguita attraverso una tecnica di Brute Forcing.
In ogni caso, gli indizi raccolti su alcuni forum hanno permesso di individuare l’identità (almeno quella digitale) dell’autore. Si tratterebbe di un cyber-criminale di origine russa che si fa chiamare con i nomi di Racoon Hacker, Eyenot ed Enot.
Nel suo account su YouTube si trovano anche vari video che mostrano come utilizzare i dati rubati per “iniettarli” in un’installazione di Telegram e avere accesso a contatti e precedenti chat delle vittime.
Lug 25, 2024 0
Lug 02, 2024 0
Ott 16, 2023 0
Ago 18, 2023 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...
One thought on “Un malware russo prende di mira (anche) chat e credenziali di Telegram”