Telegrab 악성코드, 텔레그램 데스크탑 메시징 세션 및 스팀 크리덴셜 훔쳐

TELEGRAB MALWARE STEALS TELEGRAM DESKTOP MESSAGING SESSIONS, STEAM CREDENTIALS

최근 발견 된 악성코드가 암호화 메시징 서비스인 텔레그램의 데스크탑 버전에서 캐시 데이터와 안전한 메시지 세션을 훔치는 것으로 나타났습니다.

연구원들은 TeleGrab이라 명명 된 이 악성코드가 텔레그램 데스크탑 버전 설계의 취약한 기본 세팅 및 데스크탑의 Secret Chat에 대한 지원 부족을 이용한다고 밝혔습니다.

텔레그램의 모바일버전과는 다르게, 데스크탑 기본 버전은 종단간 암호화 메시징 기능인 Secret Chat을 지원하지 않습니다. 이 기능이 존재하지 않기 때문에, 타겟의 컴퓨터에 접근할 수 있는 해커들이 프로그램의 캐시를 통해 텔레그램의 세션을 ‘가로채기’ 할 수 있게 된다고 연구원들이 밝혔습니다.

이 악성코드는 모든 텔레그램 캐시 데이터를 수집해 데이터를 추출하기 전 압축합니다.

연구원들은 캐시와 맵 파일을 오픈 세션과 함께 설치 된 텔레그램 데스크탑 버전에 복구하면, 공격자는 피해자의 연락처, 이전 채팅 내용에 접근할 수 있게 된다고 밝혔습니다.

또한 연구원들은 이 캐시 정보를 복호화 할 툴은 존재하지 않는 것으로 알고 있다고 밝혔습니다. 하지만, 그들은 이 캐시 정보를 복호화 하는 툴을 개발하는 것이 가능할지 모른다는 Github 토론을 발견했습니다.

이 악성코드의 운영자들은 pcloud.com 하드코딩 된 계정들 여러 개를 사용해 추출 된 정보를 저장할 수 있습니다. 연구원들은 이 정보는 암호화 되지 않았기 때문에, 올바른 계정정보를 가진 누구나 이 추출한 정보에 접근할 수 있다고 밝혔습니다.

“텔레그램의 데스크탑 데이터를 암호화 하는데 사용된 키는 맵 파일에 저장 됩니다. 그리고 이 키는 사용자의 패스워드로 암호화 됩니다.”

“해커가 이 파일에 대한 패스워드를 가지고 있지 않다고 가정했을 때, 그들이 이 파일에 접근할 수 있도록 하는 브루트포싱 메커니즘을 개발하는 것은 그리 어려운 일은 아닐 것입니다.

이 악성코드는 지난 4월 4일 처음 발견되었으며 텍스트 파일, 브라우저 크리덴셜, 쿠키들만을 훔쳤습니다. 두 번째 변종은 4월 10이 발견 되었으며 텔레그램의 데스크탑 캐시 및 스팀 로그인 계정을 훔쳤습니다.

이 캠페인은 다양한 프로그래밍 언어로 쓰여진 다운로드 여러 개를 사용해 배포 되고 있습니다.

연구원들은 TeleGrab이 주로 러시아어를 사용자들을 노리고, 익명화 서비스와 관련 된 IP 주소들은 의도적으로 피하고 있다고 설명했습니다.

현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.Mucc로 탐지중에 있습니다. 

출처 :

https://threatpost.com/telegrab-malware-steals-telegram-desktop-messaging-sessions-steam-credentials/132079/

https://blog.talosintelligence.com/2018/05/telegrab.html