Un malware russo prende di mira (anche) chat e credenziali di Telegram

Mag 17, 2018 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 1

L’attacco punta a copiare la cache della versione desktop dell’app per sottrarre username e password. Poi i pirati “clonano” l’account.

Allarme per chi usa la versione desktop di Telegram. In circolazione, infatti, c’è un malware che sembra aver preso di mira uno dei programmi di messaggistica considerato tra i più sicuri tra quelli in circolazione.

TeleGrab, come è stato battezzato dai ricercatori di Talos che ne analizzano le caratteristiche e l’origine in questo report, è in circolazione dallo scorso aprile in due versioni diverse ed è stato creato con il preciso obiettivo di rastrellare credenziali di accesso al software.

La tecnica utilizzata è piuttosto semplice e fa leva su una debolezza intrinseca (i ricercatori ci tengono a precisare che non si tratta di una vera vulnerabilità) della versione desktop dell’app di messaggistica, che non supporta la funzione di chat segreta con crittografia client-client per cui il software è diventato famoso.

Il motivo? Come spiegano sul sito di Telegram, le versioni Web e desktop dell’applicazione non memorizzano i dati delle chat in locale, ma solo su cloud. Per usare la crittografia client-client, invece, è necessario memorizzarle in locale.

La buona notizia è che, in caso di attacco, sappiamo per lo meno che i pirati informatici non possono comunque avere accesso alle nostre chat segrete.

TeleGrab, una volta installato sul computer, avvia un’attenta opera di raccolta di informazioni che comprendono tutti i file TXT presenti sul sistema, le credenziali di Chrome, i cookie relativi alle sessioni attive, i dati della piattaforma Steam (la più celebre piattaforma di videogame) e i dati di Telegram.

Tutte le informazioni raccolte vengono poi inviate via Internet su un servizio pccloud.com (i ricercatori di Talos hanno individuato 5 account utilizzati dal malware) senza alcuna protezione crittografica. Questo significa, tra l’altro, che chiunque dovesse ottenere accesso agli account potrebbe copiare tutti i dati che vi sono conservati.

Per quanto riguarda Telegram, la raccolta dei dati avviene attraverso la copia della cache e del file map dell’applicazione. Come fanno notare gli stessi ricercatori, i dati nella cache sono crittografati e la chiave è contenuta nel file map, a sua volta crittografato utilizzando la password dell’utente.

A meno che non conosca la password, per avere accesso ai dati il pirata informatico deve quindi per lo meno violare la crittografia del file map. Dal momento che il file è codificato con AES, gli analisti di Talos ritengono che questa operazione sia eseguita attraverso una tecnica di Brute Forcing.

In ogni caso, gli indizi raccolti su alcuni forum hanno permesso di individuare l’identità (almeno quella digitale) dell’autore. Si tratterebbe di un cyber-criminale di origine russa che si fa chiamare con i nomi di Racoon Hacker, Eyenot ed Enot.

I ricercatori di Talos si sono impegnati in una vera “caccia al pirata” scandagliando forum e social network.

Nel suo account su YouTube si trovano anche vari video che mostrano come utilizzare i dati rubati per “iniettarli” in un’installazione di Telegram e avere accesso a contatti e precedenti chat delle vittime.

Condividi l'articolo