Telegrab, el malware capaz de secuestrar las sesiones de Telegram

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Investigadores de Talos han descubierto una nueva variante de Telegrab, un malware que se detectó por primera vez el 4 de abril, y surgió una segunda versión el 10 de abril. Mientras que la primera versión solo robaba credenciales y cookies del navegador, junto con todos los archivos de texto que puedan encontrarse en el sistema, la segunda variante agregó la capacidad de recopilar la caché del cliente de escritorio y las claves de Telegram, lo que podría acarrear en que se puedan secuestrar las sesiones de mensajería. El radio de acción de este malware es principalmente víctimas de habla rusa y evita intencionadamente las direcciones IP relacionadas con cualquier servicio de anonimización de usuarios.

Telegrab no explota ninguna vulnerabilidad, si no que se aprovecha de que el cliente de escritorio de Telegram no soporta los "chats secretos". Esto, junto con una configuración por defecto de no cerrar la sesión automáticamente, hace que este malware pueda secuestrar la sesión y por lo tanto las conversaciones. Su funcionamiento se basa en obtener todos los datos de la caché y comprimirlos para posteriormente enviarlos al servidor de control.

Esta campaña no es muy sofisticada, pero sí muy eficiente. No existe persistencia en la máquina, por lo tanto, el malware se ejecuta cuando la víctima lo ejecuta, pero no después de reiniciar. El malware se distribuye a través de varios 'downloaders' escritos en diferentes lenguajes (Go, Python, DotNet), los cuales descargan un fichero con nombre "whiteproblem.exe”. Una vez se descarga el malware tiene dos posibles variantes: la primera ejecuta el finder.exe y la segunda se trata de un fichero '.rar' autoextraible que contiene un ejecutable de python. El fichero "finder.exe" es el responsable de buscar en el disco duro las credenciales del navegador y las cookies de sesión para un usuario, también recoge todos los archivos de texto del sistema, este ejecutable también es el responsable de la exfiltración de la información recopilada.

Comparada con otras amenazas, Telegrab puede ser insignificante, pero es un ejemplo de cómo una amenaza pequeña puede pasar desapercibida y comprometer miles de credenciales.