Хакеру впервые удалось похитить данные из Telegram
Эксперты по компьютерной безопасности из компании Cisco Talos обнаружили вредоносную программу, которая способна похищать данные из версии мессенджера Telegram для настольных компьютеров.
Вредоносная программа в основном нацелена на русскоязычных жертв и намеренно избегает IP-адресов, связанных с услугами анонимайзера, говорится в отчете Cisco Talos.
Судя по всему, автором программы является русскоговорящий хакер под псевдонимом Racoon или Enot272.
"Беглый анализ показывает, что Racoon Hacker является носителем русского языка и имеет прекрасное понимание языка программирования Python. К примеру, декодирование домашней директории пользователя выполняется с использованием схемы кодирования символов CP-1251, которая в основном используется для таких языков, как русский или украинский", - отмечают эксперты.
В апреле 2018 года хакер дважды атаковал Telegram, в результате чего ему удалось похитить файлы кэша, а также ключи шифрования мессенджера. Эти ключи постоянно меняются, так что успех хакера не означает, что он может читать переписку всех пользователей, уточняет BBC.
В кэше Telegram хранятся файлы, которые пользователи использовали в переписках - документы, видео и аудиозаписи, фотографии. Вредоносная программа атакует только версию мессенджера для компьютеров, поскольку в ней нет функции секретных чатов. Кроме того, по умолчанию в этой версии слабо настроена безопасность.
Специалисты считают, что уязвимость позволяет получить доступ к сеансу, контактам и переписке жертвы. В частности, программа сканирует жесткие диски на компьютерах под управлением операционной системы Windows на предмет учетных данных браузера Google Chrome. Также сканируются cookie (настройки и статистика пользователя) и текстовые файлы. Все это при обнаружении архивируется и загружается на облачный сервис хранения данных pcloud.com.
"Злоумышленник будет иметь доступ только к локальным кэшированным данным. Важно понимать, что нет уверенности в том, что из данных хранится локально. Единственная уверенность заключается в том, что чаты хранятся в облаке", - подчеркивают эксперты.
Администрация Telegram пока не комментирует информацию о взломе.