بدافزار تلگراب محتویات تلگرام را به سرقت می‌برد!

خلاصه: کارشناسان سیسکو تالوس بدافزاری با نام تلگراب کشف نموده‌اند که فایل‌های مرتبط با تلگرام را از کامپیوتر‌های قربانی سرقت نموده و با استفاده از فایل‌هایی که سرقت نموده می‌تواند به تلگرام قربانی متصل شده و به تمامی فایل‌ها و چت‌های کاربر قربانی دست یابد. این بدافزار کاربران چینی و روسی را هدف قرار داده است.

محققین سیسکو تالوس بدافزار عجیبی را کشف نمودند که تنها به دنبال فایل‌های مرتبط با تلگرام روی سیستم قربانی می‌گردد و آن‌ها را به سرقت می‌برد. این کارشناسان این بدافزار را تلگراب نام‌گذاری نموده‌اند.

تاکنون دو نسخه از این بدافزار منتشر شده است که نسخه اول در ابتدای آوریل، اواسط فروردین ماه، منتشر شده که اطلاعاتی همچون گواهی‌نامه‌های مرورگر، کوکی‌ها و فایل‌های متنی که روی سیستم پیدا می‌کند به سرقت می‌برد. اما در نسخه دوم این بدافزار که تنها یک هفته پس از نسخه اول منتشر شد، توانایی جمع‌آوری فایل‌های مرتبط با برنامه دسکتاپ تلگرام شامل کش این برنامه، فایل‌های کلید آن و اطلاعات ورود به آن را به سرقت می‌برد.

لازم به ذکر است که این بدافزار برای سرقت فایل‌های مرتبط با تلگرام، از آسیب‌پذیری‌ها و یا ضعف‌های امنیتی این برنامه بهره نمی‌برد. این بدافزار تنها نسخه دسکتاپ این برنامه را به دلیل نداشتن امکان چت محرمانه و قابلیت خروج اتوماتیک پیش‌فرض هدف قرار داده است.

این بدان معنی است که مهاجم می‌تواند با فایل‌های سرقت شده از قربانی به تلگرام آن دسترسی پیدا کند؛ البته به شرطی که هنوز جلسه دزدیده شده از کامپیوتر قربانی بسته نشده باشد. با دسترسی به تلگرام قربانی، همه فایل‌ها، مخاطبین و چت‌های قربانی در دسترس مهاجم قرار می‌گیرد.

بدافزار تلگراب توسط دانلود کننده‌ها توزیع شده است. این بدافزار مکانیزم ماندگاری روی سیستم قربانی را نداشته و پس از راه‌اندازی مجدد سیستم، از روی آن پاک می‌شود.

اطلاعات به سرقت رفته از کاربران در یک حساب ابری سوییسی با نام pCloud ذخیره شده‌اند. با توجه به اینکه این اطلاعات در سرویس pCloud به صورت رمز نشده ذخیره می‌شوند، اگر کسی به این حساب دسترسی پیدا نماید به همه اطلاعات سرقت شده دست می‌یابد.

محققانی که این بدافزار را آنالیز نموده‌اند معتقدند که این بدافزار پیچیده نیست، در عین اینکه به صورت بهینه‌ای نوشته شده است.

کارشناسان معتقدند علی‌رغم اینکه این حمله دامنه تاثیر پایینی داشته است، می‌تواند هشداری برای پیام‌رسان‌ها باشد که تنظیمات پیش‌فرض نادرست می‌تواند مخاطبین آن‌ها را تحت تاثیر قرار می‌دهد.