باج‌افزار Telegrab

چند وقتی است که در ایران پیامرسان تلگرام با دستور قضایی مسدود شده و کاربران ایرانی با مشکلات عدیدهای برای استفاده از این پیامرسان مواجه هستند. اما از مشکلات کاربران ایرانی که بگذریم به تازگی Cisco Talos خبر از باجافزاری داده ‌ استکه امنیت کاربران نسخه desktop تلگرام را تهدید مینماید. این باجافزار روسی که Telegrab نام دارد، از تنظیمات ضعیف پیشفرض نسخه desktop تلگرام و همچنین عدم وجود secret chat در این نسخه از تلگرام استفاده میکند. نسخه اولیه این باجافزار در ۴ آوریل و نسخه دوم آن در ۱۰ آوریل شناسایی شد.

 

 

باجافزار Telegrab چه اطلاعاتی را سرقت میکند؟

نسخه اولیه این باجافزار قادر به سرقت اطلاعات اصالت سنجی مرورگر قربانی و کوکیهایش میباشد. نسخه دوم علاوه بر اینها قادر به دزدیدن اطلاعات Cacheشده و همچنین فایلهای کلید این پیامرسان میباشد.

نسخه اولیه باجافزار Telegrab دیسک سخت قربانی را برای یافتن اطلاعات اصالت سنجی و کوکی رصد میکند. این کار با اجرای روند finder.exe که توسط نویسنده این باجافزار و به زبان Go نوشته است، انجام میپذیرد. سپس باجافزار توسط یک ابزار متنباز اطلاعاتی را که دزدیده است به سایت pcloud.com ارسال میکند.

همانطور که گفتیم نسخه دوم Telegrab قادر به سرقت اطلاعات cache شده قربانی و فایل کلیدهای تلگرام قربانی نیز میباشد. زیرا نویسنده این باجافزار در نسخه دومش از روند notproject.exe و dpapi.exe هم بهره گرفته است. این روندها به زبان پایتون نوشته شدهاند.

 

نویسنده Telegrab

محققان Cisco Talos می‌گویند این باج‌افزار را شخصی به نام Racoo Hacker که با نام Racoon PoroRacoon Pogoromist (sic) و یا Eyenot (Енот / Enot) شناخته می‌شود، نوشته است.

 

نتیجه‌گیری:

 

بارزترین ویژگی این باجافزار قابلیت سرقت نشستهای تلگرام میباشد. در نتیجه این کار، باجافزار موفق به دستیابی  به فهرست اطلاعات تماس  و همچنین گفت و گوهای گذشته قربانی در پیامرسان تلگرام نسخه Desktop دست یابد. نکته مهم اینجاست این باجافزار از هیچگونه ضعف امنیتیای در تلگرام استفاده نمیکند. اگر این باجافزار را با شبکههای بات عظیمی مقایسه کنیم خواهیم دید این باجافزار خیلی کوچک محسوب میگردد. اما همین باجافزار ساده در کمتر از یک ماه موفق به دزدین اطلاعات اصالت سنجی هزاران کاربر شده و منجر به زیر پا گذاشتن حقوق کاربران نسخه desktop تلگرام شده است. این باجافزار چندان پیچیده نیست اما توانسته در رسیدن به هدفش موفق باشد.