导语:最近Talos观察到了一种新型恶意软件,它收集端到端加密即时消息服务Telegram的缓存和密钥文件。

简介

在过去的一个半月里,Talos观察到了一种新型恶意软件,它收集端到端加密即时消息服务Telegram的缓存和密钥文件。这款恶意软件最早于2018年4月4日发布,于4月10日出现第二个变种。

尽管第一个版本只能窃取浏览器凭证和cookie,以及系统上找到的所有文本文件,但第二个版本添加了收集Telegram桌面缓存和密钥文件的功能,以及Steam网站的登录信息。

Talos情报研究已经识别出了该恶意软件背后的作者。作者发布了几个YouTube视频,其中包含关于如何使用Telegram收集文件、劫持Telegram会话以及如何打包发布。

此恶意软件的运营者使用几个pcloud.com硬编码帐户来存储泄露信息。这些信息没有加密,这意味着任何有权访问这些凭证的人都可以访问已泄露的信息。

恶意软件主要针对俄语用户,并有意避免与匿名服务相关的IP地址。

TELEGRAM DESKTOP免责声明

恶意软件没有破坏或利用Telegram的任何漏洞。它影响Telegram的桌面版本,此版本不支持秘密聊天且具有较弱的默认设置。

https://core.telegram.org/tsi/e2ee-simple#2-why-are-there-no-secret-chats-on-desktop-apps

摘录来自telegram.org网站,明确指出telegram的桌面版和网络版不支持Secret Chats。这些版本是基于云的,因此不存在本地存储内容。恶意软件滥用缺少秘密聊天这项功能,而不是漏洞。telegram桌面版默认情况下不具有自动注销功能。这两个因素合在一起使得恶意软件能够劫持并进行对话。

这并不意味着telegram被破坏,或者这种技术适用于使用移动平台进行的Secret Chats。

TELEGRAM DESKTOP数据

恶意软件收集所有telegram缓存数据,并在传输文件前对其压缩。

准备传输数据的代码

通过调查,我们能够找到教程视频,了解如何访问和使用这些信息来劫持telegram会话。总之,如果会话已打开,则通过将缓存和映射文件恢复到现有的Telegram桌面安装中。就可以访问受害者会话、联系人和以前的聊天记录。Talos认为,视频的作者和恶意软件的作者是相同的。

然而,这很不寻常。据Talos所知,没有工具可以解密缓存信息。在GitHub TelegramDesktop存储库中,这里有一个讨论表明可以开发一个工具来解密该缓存信息。

用于对Telegram桌面版数据文件进行加密的密钥存储在map*文件中,这些文件使用户密码加密。

GitHub.com TelegramDesktop库

假设攻击者没有密码,那么他们就会使用暴力破解机制来访问这些文件的。上面的代码展示了如何通过使用已有的组件来完成此项工作。由于Telegram使用AES进行加密,因此使用OpenCL或者为HashCat创建插件就可以。

攻击者只能访问本地缓存的数据。了解这一点很重要,不能保证本地存储的内容。唯一的保证是聊天记录存储在云端。

恶意软件作者

通过分析恶意软件的各种变体,我们可以将恶意软件联系到名为Racoon Hacker(也称为Eyenot(Енот/ Enot)和Racoon Pogoromist)的用户。

粗略分析视频表明,Racoon Hacker以俄语为母语,对Python编程语言有深入的理解。尽管没有很多帖子或视频,但所有材料都涉及账户劫持或开发有效载荷loader。这些视频经常提及与恶意软件变种相类似的平台/技术。

使用Cyrillic解码用户目录

作者以Cyrillic语为重点在前一张图片的第一行代码中清晰可见。用户主目录的解码使用CP-1251字符编码方案完成,该方案主要用于俄语或乌克兰语。

Racoon Hacker发布了YouTube视频(参见上文),该视频展示了如何窃取Telegram会话。仔细查看视频,可以看到有两处引用了enot用户。

涉及到的Enot

在lolzteam.net上,一个自2017年秋季以来一直活跃的中级俄罗斯黑客论坛,名为Racoon Progoromist的Racoon Hacker发表了一篇名为“2018年Telegram破解”的文章,概述了定制恶意软件的过程。

关于Telegram会话劫持工具的博客

在另一个中级黑客论坛sft.st中,同样的软件正在被广告,并添加了一个到Python脚本和其他工具的GitHub链接,以便用户能够重复他的演示。

sft.st论坛文章及GitHub链接

属于Enot272的GitHub帐户已经没有python脚本,但是Talos能够检索内容列表。

 GitHub Stealer_for_Telegram_Desktop仓库

存储库包含与下一步视频相同的文件名以及同一视频的链接。这就构成了Racoon Hacker和enot272之间更强大的联系。尽管Stealer_for_Telegram_Desktop已被删除,但在GitHub上发布此帖子时,帐户enot272仍处于活动状态。查看帐户详情,我们发现了另外两个链接到Racoon Hacker和恶意软件的变种。

Enot272 GitHub.com帐户详情

此用户的图标与发布视频的YouTube帐户中使用的图标相同,该帐户只有两个项目,其中一个与恶意软件的一种变体使用相同的API将数据传输到pcloud.com云。这个API不是很流行,总共只有八颗星。

其中一个视频特别提供了恶意软件样本与Racoon Hacker之间最密切的联系。该视频介绍了使用AutoIt创建的loader的用法。

tesytest1enot.ucoz.net file manager

在视频的3分6秒,显示了网站testytest1enot.ucoz.net的内容。可以看到两个文件名(dist1.txt和sdadasda.txt),这两个文件名与我们的两个样本完全匹配,与在droppers中找到的确切URL匹配。

一个变种的完整URL

尽管loader归于另一个用户,但Telegrab也正在使用此特定的加载器/卸载器进行分发。

enotproject.exe反编译的代码

其中发现了同样的用户enot272,作为恶意软件用来下载它不应该联系的IP列表的URL的一部分。

恶意软件细节

这个活动正在使用多种不同语言编写的downloader进行传播。 Talos发现至少有三种不同的语言(Go,AutoIT,Python)和第四种语言(DotNet)的原型,其中一种是编译成可执行文件的AutoIT脚本。

在反编译AutoIT脚本之后,可以使用名称whiteproblem.exe下载可执行文件finder,该名称只是其中找到的一个(请参阅IOCs部分)。 

一旦下载,恶意软件就有两种基于Go编写的finder.exe的变体。第一个变体只使用finder.exe。第二个变体在一个RAR自解压文件中,除finder.exe外,它还有一个Python stub可执行文件,名称为enotproject.exe或dpapi.exe。

自解压RAR头部

一旦解压,finder.exe就会启动,按照上面看到的设置变量。

finder.exe负责在默认用户的硬盘上搜索Chrome浏览器凭据和会话cookie。在搜索硬盘时,它还会收集系统上的所有文本文件(.txt)。第二个变体在执行期间会相应地启动第二个可执行文件enotproject.exe或dpapi.exe。

此可执行文件还负责收集信息的传输。通过使用GitHub上的开源库(这里),将数据上传到pcloud.com网站。

调用pCouldClient.Login()

身份验证是使用硬编码到finder.exe本身的凭据完成的。Talos在finder.exe样本中确定了五个pcloud.com帐户。分析代码发现传输的数据没有使用任何加密。这意味着拥有这些凭据的人将能够访问这些信息,这使其更加危险。

第二个名为enotproject.exe或dpapi.exe,用Python编写并使用pyinstaller将其打包成可执行文件。dpapi.exe时间戳通常比enotproject.exe更早,并且代码本身也更简单,表明此恶意软件的清晰演变。

对于后者,它增加了代码来收集Telegram和Steam数据。该代码还负责检查受害者的IP地址是否是从https://enot272[.]neocities[.]org/IPLogger-output.txt.下载的列表的一部分。如果受害者在列表中,恶意软件将退出。该列表包含中国、俄罗斯以及其他国家的匿名服务IP。

2018年4月10日,第一次在野外发现了收集Steam和Telegram信息的版本。

Python代码的第三个版本也被封装在一个py2exe可执行文件中。该代码类似于第二个变体中的enotproject.exe,但它是独立的。由于该变体没有泄露代码,所以恶意攻击者如何收集这些信息是未知的。该变体的时间戳表明这是正在部署的最新变体。

恶意软件没有持久性机制,所以恶意运营者只关心信息收集。

总结

值得注意的是,Telegram会话劫持是该恶意软件最有意思的功能,即使使用上有所限制,但这种攻击会劫持会话,并且受害者的联系人和以前的聊天也会受到影响。尽管它没有利用任何漏洞,但收集这类信息的恶意软件并不常见。这个恶意软件应该警醒加密消息系统的用户。解释不清晰和错误配置的功能可能会危及他们的隐私。但与大型犯罪团伙使用的大型机器人网络相比,这种威胁几乎可以忽略不计。然而,这表明小型行动能够在躲避监测,并在不到一个月的时间内获取了成千上万个凭据,对受害者的隐私产生重大影响。这些凭据和Cookie允许恶意软件运营者访问受害者在诸如vk.com,yandex.com,gmail.com,google.com等网站上的信息。所分析的恶意软件样本并不是特别复杂,但效率很高。没有持久性机制,这意味着受害者每次都会执行恶意软件,但重启后就不会执行了。

IOCS

URLS
· 检查当前IP是否在列表中
https://enot272[.]neocities[.]org/IPLogger-output.txt
· 传播点
http://testytest1enot[.]ucoz8[.]net/dist4.txt
http://testytest1enot[.]ucoz[.]net/sdadasda.txt
http://testytest1enot[.]ucoz[.]net/dist1.txt
http://testytest1enot[.]ucoz[.]net/wolf.txt
http://enotal1f[.]beget[.]tech/new/whiteproblem.exe
http://enotal1f[.]beget[.]tech/123Vlades925.zip
http://enotal1f[.]beget[.]tech/new/uraura.exe
http://enotal1f[.]beget[.]tech/new/sergejbatalov.exe
http://enotal1f[.]beget[.]tech/nickky5.zip

SHA256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源链接

Hacking more

...