به گزارش ایران پژواک به نقل از سایت پلیس فتا، هلپ نت سکوریتی، نوشت: دو نفر از محققان Cisco Talos به نام های Vitor Ventura و AzimKhodjibaev این بدافزار را Telegrab ترجمه کردند.

آن‌ها دو نسخه از آن را تحلیل کردند. اولی در 4 آوریل 2018 کشف شد که فقط اطلاعات کاربری و کوکی‌ها و تمامی فایل‌های متنی را که می‌تواند روی سیستم بیابد سرقت می‌کند. دومی کمتر از یک هفته بعد کشف شد که قابلیت برداشت حافظه موقت تلگرام دسکتاپ و فایل‌های کلیدی و اطلاعات کاربری را برای وب‌سایت Steam دارد.

به‌منظور سرقت حافظه موقت تلگرام و فایل‌های اصلی، بدافزار از نقص‌های نرم‌افزار سوءاستفاده نمی‌کند. این بدافزار فقط قابلیت هدف قرار دادن نسخه دسکتاپ تلگرام را دارد چون نسخه دسکتاپ تلگرام از چت‌های خصوصی پشتیبانی نمی‌کند و قابلیت خروج خودکار آن از آن‌ها به‌صورت پیش‌فرض فعال نیست.

این موضوع بدین معناست که هکر می‌تواند از فایل‌های سرقت شده به‌منظور دسترسی به نشست تلگرام قربانی (درصورتی‌که نشست باز باشد)، تماس‌ها و چت‌های قبلی استفاده کند.

Telegrab از طریق برنامه‌های دانلود کننده قابل‌توزیع است و بررسی می‌کند که آیا IP قربانی بخشی از لیست آدرس‌هایی است که دربرگیرنده آدرس‌های IP روسی و چینی هستند. درصورتی‌که بخشی از لیست باشد، بدافزار وجود دارد.

درصورتی‌که سازوکار آن به‌صورت پیوسته نباشد، پس از راه‌اندازی مجدد سیستم کار نخواهد کرد. اطلاعات و فایل‌های سرقت شده به یکی از 5 حساب ابری p (فضای ابری p یک محل ذخیره فضای ابری در سوئیس است). آن‌ها رمزگذاری شده نیستند، بنابراین ازلحاظ فنی هرکسی که اطلاعات کاربری مربوط به آن حساب‌ها را داشته باشد می‌تواند به آن‌ها دسترسی پیدا کند.

محققان اعلام کردند:" نمونه‌های بدافزار بررسی‌شده آن‌چنان پیچیده نیستند ولی کارآمد هستند."
"لازم به ذکراست که سرقت کردن نشست تلگرام جذاب‌ترین قابلیت این بدافزار است، حتی باوجود محدودیت‌ها، اجازه سرقت کردن نشست را می‌دهد و توسط آن، تماس‌های قربانی و چت‌های قبلی در دسترس هستند."

آن‌ها همچنین اشاره کردند که این بدافزار باید به‌عنوان یک زنگ خطر برای کاربران سیستم‌های پیام‌رسان رمزگذاری شده در نظر گرفته شود. همچنین افزودند:" قابلیت‌هایی که به‌درستی توضیح داده نشده‌اند و همچنین نقص‌های مهم می‌توانند امنیت آن‌ها را به خطر بیندازند."

انتهای پیام