محققان یک قطعه غیر معمول از بدافزار را که به دنبال جمع آوری (حافظه پنهان و فایل های کلیدی) از سرویس پیام رسان  رمزگذاری شده Telegram بوده است را کشف و تجزیه و تحلیل نمودند.

توانایی های بدافزار 

محققان Cisco Talos بدافزار را Telegrab را نام بردند و دو نسخه از آن را تجزیه و تحلیل نمودند. اولین نسخه ای که در تاریخ ۴ آوریل ۲۰۱۸ کشف شد، تنها اعتبارات مرورگر ها، کوکی ها و تمام فایل های متنی را که در سیستم یافت می شد سرقت میکرد. دومین نسخه که کمتر از یک هفته بعد نمایان شد همچنین قادر به جمع آوری حافظه پنهان دسکتاپ و فایل های کلیدی و اطلاعات ورودی کاربران برای وب سایت Steam یا وب سایت واسط هکر ها بود.

برای سرقت Telegram cache و فایل های کلیدی، بدافزار از نقص های نرم افزاری استفاده نمی کند. بدافزار قادر است تنها نسخه دسکتاپ محبوب پیام رسان را هدف قرار دهد زیرا از Secret Chats پشتیبانی نمیکند.

این بدان معنی است که مهاجم می تواند از فایل ها به سرقت رفته برای دسترسی به Telegram Session قربانی (اگر Session باز باشد)، مخاطبین و چت های قبلی استفاده نماید.

Telegrab از طریق انواع دانلودها توزیع می شود و بررسی می کند که اگر آدرس آی پی قربانی بخشی از آدرس IP های چینی و روسی و همچنین خدمات ناشناس در کشورهای دیگر باشد خارج شود.

نکته قابل توجه بدافزار این است که مکانیسم پایداری ندارد، بعد از یک مرتبه راه اندازی مجدد سیستم کار نخواهد کرد.

درباره خالق Telegrab

محققان بسیاری معتقدند که خالق بدافزار Telegrab یک سخنران بومی روسی است که با نام های “Racoon Hacker” یا “Eyenot” شناسایی شده است.

این فرد به طور آنلاین تعدادی از پست ها و فیلم های مربوط به رباینده های دیگر حساب و یا توسعه دهنده Payload Loaders را نشان می دهد که چگونه  Telegram Sessions به سرقت می روند و البته سایر موارد دیگر در آن نشان داده شده است. اطلاعات منتشره از این فیلم ها اشاره به Racoon هکر / Eyenot دارد از هکر های معروف فروم ها در روسیه می باشد و البته حساب Github نیز دارد.

Telegrab یک بدافزاری روسی در جهت دزدیدن Session های تلگرام