به گزارش ایران پژواک به نقل از سایت پلیس فتا، هلپ نت سکوریتی، نوشت: دو نفر از محققان Cisco Talos به نام های Vitor Ventura و AzimKhodjibaev این بدافزار را Telegrab ترجمه کردند.
آنها دو نسخه از آن را تحلیل کردند. اولی در 4 آوریل 2018 کشف شد که فقط اطلاعات کاربری و کوکیها و تمامی فایلهای متنی را که میتواند روی سیستم بیابد سرقت میکند. دومی کمتر از یک هفته بعد کشف شد که قابلیت برداشت حافظه موقت تلگرام دسکتاپ و فایلهای کلیدی و اطلاعات کاربری را برای وبسایت Steam دارد.
بهمنظور سرقت حافظه موقت تلگرام و فایلهای اصلی، بدافزار از نقصهای نرمافزار سوءاستفاده نمیکند. این بدافزار فقط قابلیت هدف قرار دادن نسخه دسکتاپ تلگرام را دارد چون نسخه دسکتاپ تلگرام از چتهای خصوصی پشتیبانی نمیکند و قابلیت خروج خودکار آن از آنها بهصورت پیشفرض فعال نیست.
این موضوع بدین معناست که هکر میتواند از فایلهای سرقت شده بهمنظور دسترسی به نشست تلگرام قربانی (درصورتیکه نشست باز باشد)، تماسها و چتهای قبلی استفاده کند.
Telegrab از طریق برنامههای دانلود کننده قابلتوزیع است و بررسی میکند که آیا IP قربانی بخشی از لیست آدرسهایی است که دربرگیرنده آدرسهای IP روسی و چینی هستند. درصورتیکه بخشی از لیست باشد، بدافزار وجود دارد.
درصورتیکه سازوکار آن بهصورت پیوسته نباشد، پس از راهاندازی مجدد سیستم کار نخواهد کرد. اطلاعات و فایلهای سرقت شده به یکی از 5 حساب ابری p (فضای ابری p یک محل ذخیره فضای ابری در سوئیس است). آنها رمزگذاری شده نیستند، بنابراین ازلحاظ فنی هرکسی که اطلاعات کاربری مربوط به آن حسابها را داشته باشد میتواند به آنها دسترسی پیدا کند.
محققان اعلام کردند:" نمونههای بدافزار بررسیشده آنچنان پیچیده نیستند ولی کارآمد هستند."
"لازم به ذکراست که سرقت کردن نشست تلگرام جذابترین قابلیت این بدافزار است، حتی باوجود محدودیتها، اجازه سرقت کردن نشست را میدهد و توسط آن، تماسهای قربانی و چتهای قبلی در دسترس هستند."
آنها همچنین اشاره کردند که این بدافزار باید بهعنوان یک زنگ خطر برای کاربران سیستمهای پیامرسان رمزگذاری شده در نظر گرفته شود. همچنین افزودند:" قابلیتهایی که بهدرستی توضیح داده نشدهاند و همچنین نقصهای مهم میتوانند امنیت آنها را به خطر بیندازند."
انتهای پیام
ارسال نظر