ロシアの電気通信規制当局からすでに攻撃を受けている暗号チャットアプリTelegramに、新たな災厄の源、マルウェアが出現した。
誰も驚かないニュースだが、Cisco Talos の研究者らは、Telegram のデスクトップ アプリを攻撃しているマルウェアはロシア語話者によって書かれたものだと述べている。
ヴィトール・ベンチュラ氏とアジム・ホジバエフ氏は、4月の2件の攻撃で「エンドツーエンドで暗号化されたインスタントメッセージサービスTelegramからキャッシュとキーファイル」を収集する行為が確認されたと説明した。
マルウェアがデスクトップ版のみを攻撃した理由は、「シークレットチャットをサポートしておらず、デフォルト設定が脆弱」であるためだ。これはデスクトップ版のみの機能であり、Telegramはユーザーに警告し、その環境にセキュリティが欠けている理由を説明している。
この攻撃は、「セッションが開かれていた場合、キャッシュとマップファイルを既存のTelegramデスクトップインストールに復元する」ことで機能し、攻撃者に被害者のセッション、連絡先、以前のチャットにアクセスする機会を与えます。
マルウェアはデータの流出を準備する。画像:Cisco Talos
マルウェアの作成者はロシア語話者であるという Talos の 2 人の評価は、Talos の投稿にリンクされている YouTube チュートリアルから得たものです。
彼らは、攻撃者に関連するさまざまなハンドルとリポジトリを特定しました。それらは「Racoon Hacker ... Eyenot (Енот / Enot)」や「Racoon Pogoromist (sic)」などさまざまな名前でした。
PythonはEnot氏がプログラマーとして初めて使用した言語だが、TalosはGo、AutoIT、Python、.NETプロトタイプで書かれたダウンローダーにマルウェアを発見したという。
マルウェアは Windows ターゲットのハードドライブをスキャンして Chrome の資格情報、セッション Cookie、テキスト ファイルを探し、それらを圧縮して pcloud.com にアップロードします。®
