Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν ένα ειδικά κατασκευασμένο σενάριο PowerShell που φιλοξενείται στο Pastebin, το οποίο έχει σχεδιαστεί για να κλέβει αθόρυβα δεδομένα περιόδου σύνδεσης Telegram τόσο από υπολογιστές όσο και από πελάτες που βασίζονται στον ιστό.
Το σενάριο είναι μεταμφιεσμένο ως μια συνηθισμένη ενημέρωση συστήματος των Windows, καθιστώντας εύκολο για ανυποψίαστους χρήστες να το εκτελούν χωρίς να προκαλούν κανένα συναγερμό.
Το κακόβουλο σενάριο έχει τίτλο “Windows Telemetry Update”, ένα όνομα που επιλέχθηκε προσεκτικά για να μιμηθεί το στυλ ονομασίας των νόμιμων εργασιών συντήρησης των Windows. Μόλις εκτελεστεί, το σενάριο δεν χάνει χρόνο.
Αρχικά συλλέγει μεταδεδομένα κεντρικού υπολογιστή, συμπεριλαμβανομένων του ονόματος χρήστη, του ονόματος υπολογιστή και της δημόσιας διεύθυνσης IP του θύματος μέσω του api.ipify[.]org, πριν προχωρήσει στον πρωταρχικό του στόχο.
Στόχευση καταλόγων στις %APPDATA%\Telegram Desktop και %APPDATA%\Telegram Desktop Beta, το σενάριο εντοπίζει και αρχειοθετεί τα αρχεία περιόδου λειτουργίας σε ένα συμπιεσμένο αρχείο που ονομάζεται “diag.zip” που είναι αποθηκευμένο προσωρινά στο φάκελο TEMP του χρήστη.
Οι αναλυτές του Flare προσδιόρισαν αυτό το σενάριο που φιλοξενείται στο Pastebin ως απειλή υψηλής σοβαρότητας μετά την προσθήκη ετικετών κατά τη συνεχή παρακολούθηση ιστοτόπων επικόλλησης και παράνομων καναλιών για κακόβουλο περιεχόμενο.
Η ανάλυσή τους αποκάλυψε ένα ειδικά κατασκευασμένο πρόγραμμα κλοπής συνεδριών Telegram που στοχεύει δεδομένα συνεδρίας επιτραπέζιου υπολογιστή, τα εκμεταλλεύεται μέσω του Telegram Bot API και μοιράζεται την υποδομή με ένα ξεχωριστό εργαλείο καταγραφής περιόδων σύνδεσης που βασίζεται στον ιστό.
Αυτό που κάνει αυτή την υπόθεση ιδιαίτερα διδακτική δεν είναι η πολυπλοκότητα των εργαλείων, τα οποία είναι ελάχιστα, αλλά αυτό που αποκαλύπτουν τα τεχνουργήματα: δύο μηχανισμοί συλλογής που λειτουργούν σε διαφορετικά στάδια ανάπτυξης, κωδικοποιημένα διαπιστευτήρια που εξέθεσαν ολόκληρη την ιστορία του χειριστή και μια σαφή διαδρομή εντοπισμού σφαλμάτων από μια σπασμένη πρώτη έκδοση σε μια λειτουργική δεύτερη.
Το σενάριο βρέθηκε σε δύο εκδόσεις στο Pastebin, και οι δύο δημοσιεύτηκαν στον ίδιο λογαριασμό. Η αρχική έκδοση (v1) περιείχε μια θεμελιωδώς κατεστραμμένη εφαρμογή μεταφόρτωσης πολλών μερών που έκανε το αρχείο “diag.zip” να μην φτάσει ποτέ στο bot.
Ο χειριστής παρατήρησε αυτήν την αποτυχία, διέγνωσε το ζήτημα και δημοσίευσε μια διορθωμένη έκδοση (v2) που υλοποιεί σωστά το τελικό σημείο sendDocument χρησιμοποιώντας την προσέγγιση Invoke-RestMethod-Form με σωστή κωδικοποίηση δεδομένων πολλαπλών μερών/φόρμας.
Αυτός ο κύκλος εντοπισμού σφαλμάτων, ορατός στο δημόσιο ιστορικό αναρτήσεων του Pastebin, παρέχει ένα σπάνιο παράθυρο για τον τρόπο κατασκευής και δοκιμής εργαλείων κλοπής συνεδρίας πριν από την επιχειρησιακή ανάπτυξη.
Καμία έκδοση του σεναρίου δεν περιλαμβάνει συσκότιση, μηχανισμούς επιμονής ή μηχανισμό αυτόματης παράδοσης ή εκτέλεσης.
Με βάση την ανάλυση του Flare, το σενάριο φάνηκε να είναι ακόμα σε ενεργή επικύρωση τη στιγμή της ανακάλυψης αντί να έχει αναπτυχθεί σε μια ζωντανή καμπάνια.
Ωστόσο, η λειτουργική παραλλαγή v2 και το επιβεβαιωμένο πρόγραμμα κλοπής περιόδων σύνδεσης που βασίζεται στον ιστό που μοιράζεται την ίδια υποδομή bot υποδεικνύουν ότι η δυνατότητα έχει περάσει τη λειτουργική επικύρωση και θα μπορούσε να προχωρήσει σε κλιμακούμενη λειτουργία.
Πώς το σενάριο κλέβει τη συνεδρία του Telegram σας
Η αλυσίδα μόλυνσης ξεκινά τη στιγμή που ένα θύμα εκτελεί μη αυτόματα το αρχείο PowerShell. Το σενάριο ανοίγει δύο ερευνητικές διαδρομές ταυτόχρονα: ζητά απευθείας το Telegram Bot API για να απαριθμήσει το bot και αντλεί οποιαδήποτε υπάρχουσα τηλεμετρία bot από το ιστορικό μηνυμάτων του bot χρησιμοποιώντας το εργαλείο Matka.
%20(Source%20-%20Flare).webp)
Μετά τη συλλογή των μεταδεδομένων του κεντρικού υπολογιστή, το σενάριο ελέγχει τόσο τις σταθερές όσο και τις beta εγκαταστάσεις του Telegram Desktop κάτω από το %APPDATA%.
Οι διαδρομές που ταιριάζουν προσαρτώνται σε έναν πίνακα μονοπατιών και το σενάριο προχωρά μόνο εάν υπάρχει τουλάχιστον μία διαδρομή tdata.
Διαφορετικά, ενεργοποιεί έναν φάρο “Δεν βρέθηκε εγκατάσταση Telegram”, που σημαίνει ότι το σενάριο εξακολουθεί να στέλνει μια ειδοποίηση χειριστή σε κάθε εκτέλεση ανεξάρτητα από το αποτέλεσμα.
%20(Source%20-%20Flare).webp)
Στη συνέχεια, το σενάριο τερματίζει αναγκαστικά τη διαδικασία του Telegram για την απελευθέρωση κλειδαριών αρχείων στον κατάλογο tdata πριν ξεκινήσει η συμπίεση.
Αυτή η καθυστέρηση δύο δευτερολέπτων επιτρέπει στη διαδικασία να ολοκληρωθεί ο τερματισμός πριν από την εκτέλεση της εντολής Compress-Archive, μια συμπεριφορά που συνάδει με την επίγνωση της συμπεριφοράς κλειδώματος αρχείων του Telegram Desktop.
Μόλις το αρχείο είναι έτοιμο, το τελικό σημείο του API bot api.telegram.org/bot{token}/sendDocument καλείται με το αναγνωριστικό συνομιλίας του χειριστή, τα μεταδεδομένα του θύματος ως λεζάντα και το “diag.zip” ως έγγραφο.
Εάν αυτή η μέθοδος αποτύχει, μια εναλλακτική λύση WebClient UploadFile διασφαλίζει ότι το αρχείο φτάνει στον χειριστή ανεξάρτητα, αν και θυσιάζει τη λεζάντα στη διαδικασία.
Το σενάριο κλείνει διαγράφοντας το αρχείο diag.zip από το δίσκο αμέσως μετά τη μεταφόρτωση για να αφαιρεθούν τα εγκληματολογικά αντικείμενα.
Ξεχωριστά, το στοιχείο κλοπής που βασίζεται στον ιστό καταγράφει την ενεργή κατάσταση συνεδρίας του Telegram Web localStorage, συγκεκριμένα τα κλειδιά εξουσιοδότησης MTProto dcX_auth_key και τις δομές περιόδου λειτουργίας λογαριασμού1, χρησιμοποιώντας το ίδιο κοινόχρηστο κανάλι bot Telegram για εξαγωγή.
Ένας εισβολέας που κρατά αυτά τα κλειδιά μπορεί να ανακατασκευάσει επαληθευμένες περιόδους σύνδεσης χωρίς να χρειάζεται τον κωδικό πρόσβασης του λογαριασμού ή την επαλήθευση SMS μετά την αρχική ρύθμιση.
Τερματίστε αμέσως όλες τις ενεργές συνεδρίες του Telegram μέσω Ρυθμίσεις εφαρμογής Telegram, μεταβείτε στην ενότητα Απόρρητο και ασφάλεια, μετά στις Ενεργές συνεδρίες και επιλέξτε Τερματισμός όλων των άλλων συνεδριών.
Αλλάξτε τον κωδικό πρόσβασης του Telegram και ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων εάν δεν είναι ήδη ενεργός. Ελέγξτε τον λογαριασμό Telegram για τυχόν μη εξουσιοδοτημένη δραστηριότητα, ασυνήθιστα μηνύματα που αποστέλλονται από τον επηρεαζόμενο λογαριασμό ή αλλαγές στις ρυθμίσεις λογαριασμού.
Σκεφτείτε ότι τυχόν ευαίσθητες πληροφορίες που κοινοποιήθηκαν προηγουμένως μέσω του Telegram ενδέχεται να έχουν εκτεθεί και λάβετε τα κατάλληλα μέτρα για την ασφάλεια των σχετικών λογαριασμών ή την ενημέρωση των επηρεαζόμενων μερών.
Σε επίπεδο δικτύου, αποκλείστε τους ακόλουθους τομείς στο επίπεδο διακομιστή μεσολάβησης και τείχους προστασίας σε περιβάλλοντα όπου το Telegram δεν επιτρέπεται: api.telegram.org και web.telegram.org.
Σε περιβάλλοντα όπου επιτρέπεται το Telegram, παρακολουθήστε για κλήσεις sendDocument και sendMessage API που προέρχονται από περιβάλλοντα δέσμης ενεργειών όπως PowerShell, Python ή curl, καθώς είναι εξαιρετικά σπάνιες σε νόμιμα εταιρικά περιβάλλοντα και θα πρέπει να δοκιμαστούν αμέσως.
VIA: cybersecuritynews.com
