雪上加霜：俄罗斯恶意软件收集 Telegram 桌面凭证和通讯

翻译：360代码卫士团队

除了遭俄罗斯政府的严厉监管外，加密通讯应用 Telegram 还饱受俄罗斯恶意软件的困扰。

思科 Talos 团队的研究员拜师，攻击 Telegram 桌面应用的恶意软件是由俄俄语开发人员编写的。

Vitor Ventura 和 AzimKhodjibaev 解释称，他们在4月份观测到两起攻击“从端对端加密即时通讯服务 Telegram 中收集缓存和重要文件”。

这款恶意软件仅攻击桌面应用版本的原因是，桌面版本“不支持秘密通讯功能以及默认设置安全性弱”。Telegram 警告用户并解释了为何这种环境下的安全性是缺失的。

攻击“通过恢复缓存并将文件映射到现有的 Telegram 桌面程序”起作用，前提是“会话是打开的”，这就能让攻击者有机会访问受害者的会话、通讯录和通讯记录。

研究人员从一个 YouTube 指导手册视频中判断出该恶意软件的作者讲俄语。研究人员找到了和这名攻击者相关的多种昵称和库，名称为“Raccon Hacker……Eyenot (Енот / Enot) 和 Racoon Pogoromist （原文如此）”。

虽然作为一名程序员，Python 是Enot 的第一语言，但研究人员表示下载器中的恶意软件使用的语言包括 Go、AutoIT、Python 和 .NET 原型。

这款恶意软件扫描 Windows 机器上硬盘驱动中的 Chrome 凭证、会话 cookie 以及文本文件，随后这些信息均被压缩上传至 pcloud.com。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。