Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Mag 17, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 1
Allarme per chi usa la versione desktop di Telegram. In circolazione, infatti, c’è un malware che sembra aver preso di mira uno dei programmi di messaggistica considerato tra i più sicuri tra quelli in circolazione.
TeleGrab, come è stato battezzato dai ricercatori di Talos che ne analizzano le caratteristiche e l’origine in questo report, è in circolazione dallo scorso aprile in due versioni diverse ed è stato creato con il preciso obiettivo di rastrellare credenziali di accesso al software.
La tecnica utilizzata è piuttosto semplice e fa leva su una debolezza intrinseca (i ricercatori ci tengono a precisare che non si tratta di una vera vulnerabilità) della versione desktop dell’app di messaggistica, che non supporta la funzione di chat segreta con crittografia client-client per cui il software è diventato famoso.
Il motivo? Come spiegano sul sito di Telegram, le versioni Web e desktop dell’applicazione non memorizzano i dati delle chat in locale, ma solo su cloud. Per usare la crittografia client-client, invece, è necessario memorizzarle in locale.
TeleGrab, una volta installato sul computer, avvia un’attenta opera di raccolta di informazioni che comprendono tutti i file TXT presenti sul sistema, le credenziali di Chrome, i cookie relativi alle sessioni attive, i dati della piattaforma Steam (la più celebre piattaforma di videogame) e i dati di Telegram.
Tutte le informazioni raccolte vengono poi inviate via Internet su un servizio pccloud.com (i ricercatori di Talos hanno individuato 5 account utilizzati dal malware) senza alcuna protezione crittografica. Questo significa, tra l’altro, che chiunque dovesse ottenere accesso agli account potrebbe copiare tutti i dati che vi sono conservati.
Per quanto riguarda Telegram, la raccolta dei dati avviene attraverso la copia della cache e del file map dell’applicazione. Come fanno notare gli stessi ricercatori, i dati nella cache sono crittografati e la chiave è contenuta nel file map, a sua volta crittografato utilizzando la password dell’utente.
A meno che non conosca la password, per avere accesso ai dati il pirata informatico deve quindi per lo meno violare la crittografia del file map. Dal momento che il file è codificato con AES, gli analisti di Talos ritengono che questa operazione sia eseguita attraverso una tecnica di Brute Forcing.
In ogni caso, gli indizi raccolti su alcuni forum hanno permesso di individuare l’identità (almeno quella digitale) dell’autore. Si tratterebbe di un cyber-criminale di origine russa che si fa chiamare con i nomi di Racoon Hacker, Eyenot ed Enot.
Nel suo account su YouTube si trovano anche vari video che mostrano come utilizzare i dati rubati per “iniettarli” in un’installazione di Telegram e avere accesso a contatti e precedenti chat delle vittime.
Ott 16, 2023 0
Ago 18, 2023 0
Giu 26, 2023 0
Dic 19, 2022 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...
One thought on “Un malware russo prende di mira (anche) chat e credenziali di Telegram”