Aggiornamenti recenti Settembre 20th, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Earth Lusca torna all’attacco con una nuova backdoor
- Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
- Il cybercrimine organizza competizioni per sviluppare nuovi metodi d’attacco
- Nasce HWG Sababa, il polo per guidare imprese e istituzioni nelle sfide di sicurezza
- Scoperte tre vulnerabilità di command injection in Kubernetes
Un malware russo prende di mira (anche) chat e credenziali di Telegram
L’attacco punta a copiare la cache della versione desktop dell’app per sottrarre username e password. Poi i pirati “clonano” l’account.
Allarme per chi usa la versione desktop di Telegram. In circolazione, infatti, c’è un malware che sembra aver preso di mira uno dei programmi di messaggistica considerato tra i più sicuri tra quelli in circolazione.
TeleGrab, come è stato battezzato dai ricercatori di Talos che ne analizzano le caratteristiche e l’origine in questo report, è in circolazione dallo scorso aprile in due versioni diverse ed è stato creato con il preciso obiettivo di rastrellare credenziali di accesso al software.
La tecnica utilizzata è piuttosto semplice e fa leva su una debolezza intrinseca (i ricercatori ci tengono a precisare che non si tratta di una vera vulnerabilità) della versione desktop dell’app di messaggistica, che non supporta la funzione di chat segreta con crittografia client-client per cui il software è diventato famoso.
Il motivo? Come spiegano sul sito di Telegram, le versioni Web e desktop dell’applicazione non memorizzano i dati delle chat in locale, ma solo su cloud. Per usare la crittografia client-client, invece, è necessario memorizzarle in locale.
La buona notizia è che, in caso di attacco, sappiamo per lo meno che i pirati informatici non possono comunque avere accesso alle nostre chat segrete.
TeleGrab, una volta installato sul computer, avvia un’attenta opera di raccolta di informazioni che comprendono tutti i file TXT presenti sul sistema, le credenziali di Chrome, i cookie relativi alle sessioni attive, i dati della piattaforma Steam (la più celebre piattaforma di videogame) e i dati di Telegram.
Tutte le informazioni raccolte vengono poi inviate via Internet su un servizio pccloud.com (i ricercatori di Talos hanno individuato 5 account utilizzati dal malware) senza alcuna protezione crittografica. Questo significa, tra l’altro, che chiunque dovesse ottenere accesso agli account potrebbe copiare tutti i dati che vi sono conservati.
Per quanto riguarda Telegram, la raccolta dei dati avviene attraverso la copia della cache e del file map dell’applicazione. Come fanno notare gli stessi ricercatori, i dati nella cache sono crittografati e la chiave è contenuta nel file map, a sua volta crittografato utilizzando la password dell’utente.
A meno che non conosca la password, per avere accesso ai dati il pirata informatico deve quindi per lo meno violare la crittografia del file map. Dal momento che il file è codificato con AES, gli analisti di Talos ritengono che questa operazione sia eseguita attraverso una tecnica di Brute Forcing.
In ogni caso, gli indizi raccolti su alcuni forum hanno permesso di individuare l’identità (almeno quella digitale) dell’autore. Si tratterebbe di un cyber-criminale di origine russa che si fa chiamare con i nomi di Racoon Hacker, Eyenot ed Enot.
I ricercatori di Talos si sono impegnati in una vera “caccia al pirata” scandagliando forum e social network.
Nel suo account su YouTube si trovano anche vari video che mostrano come utilizzare i dati rubati per “iniettarli” in un’installazione di Telegram e avere accesso a contatti e precedenti chat delle vittime.
Condividi l'articolo
Ora i pirati usano UPnP per mascherare gli attacchi DDoS
Pensavate di esservi liberati di Spectre? Sbagliato!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per... -
Le PMI italiane nel mirino dei ransomware Il fenomeno dei ransomware non si arresta e, anzi, continua... -
L’Italia è il quinto paese al mondo per furto di... Il furto di account rimane uno dei principali problemi di...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Earth Lusca torna all’attacco con una nuova backdoor Earth Lusca è ancora in attività: il gruppo... -
Microsoft: una “gaffe” di sicurezza ha esposto... I ricercatori di Wiz, compagnia di sicurezza per il... -
Nasce HWG Sababa, il polo per guidare imprese e istituzioni... HWG, azienda di servizi gestiti e consulenza cyber, e... -
Scoperte tre vulnerabilità di command injection in... I ricercatori di Akamai hanno individuato tre... -
Trovate due nuove vulnerabilità critiche nei prodotti SAP In occasione del Security Patch Day di settembre, SAP ha...
Ransomware: la serie
No posts found.
One thought on “Un malware russo prende di mira (anche) chat e credenziali di Telegram”