Používate Google Chrome? Cez appku Telegram vám možno ukradli heslá...
Používate Google Chrome? Cez appku Telegram vám možno ukradli heslá, upozorňuje Cisco Talos
Špecialisti tímu Cisco TALOS objavili malvér ktorý využíva nedostatočné predvolené nastavenia aplikácie Telegram Desktop.
Nebezpečenstvo malvéru spočíva v získavaní:
- cache a súborov obsahujúcich kľúče k šifrovacej aplikácii Telegram určenej pre desktopy
- prihlasovacích mien a hesiel uložených v prehliadači Google Chrome
- uložených cookies
- všetkých textových súborov
Čo sa stalo?
- Malvér nevyužíva žiadnu chybu šifrovania aplikácie, skôr zneužíva slabosť v predvolených nastaveniach aplikácie Telegram Desktop. Napríklad, tento variant aplikácie nemá aktívnu funkciu automatického odhlasovania a nepodporuje tzv. Secret Chats.
- Kombinácia týchto dvoch slabostí umožňujú ukradnúť session a teda aj celú konverzáciu.
- Autor malvéru nahral získané dáta na verejne prístupné cloudové úložisko a uverejnil postup na serveri Youtube ako tieto dáta použiť.
- Získané cache súbory z aplikácie stačí namapovať do existujúcej Telegram Desktop aplikácie a útočník môže získať prístup ku kontaktom a vašim konverzáciam.
Ako to prebieha?
- Po infikovaní zariadenia malvér prehľadá pevný disk zariadenia a pokúša sa nájsť a zozbierať uložené prístupové mená a heslá prehliadača Google Chrome, všetky .txt súbory a session cookies na disku.
- Po zozbieraní dát, sú tieto uploadnuté na úložisko pcloud.com bez akéhokoľvek zašifrovania.
- Poslaním tohto malvéru nieje zašifrovať disk ako v prípade ransomvéru, ide hlavne o získanie citlivých údajov – či už konverzácií uskutočnených prostredníctvom Telegram Desktop a uložených prístupových údajov v Google Chrome.
Ako sa chrániť pred podobnými hrozbami? SKÚSTE SI DEMO:
*Meraki MX – dokáže detekovať aktivity malvéru
*(SIG – Secure internet gateway), blokuje prístup užívateľov k doménam a IP adresám so škodlivým obsahom, bez ohľadu na to, či sa užívateľ nachádza vo firemnej sieti alebo mimo nej.
* NGFW (Next Generation Firewall)