Malware russo raccoglie credenziali e file chat di Telegram Desktop

Nemmeno la chat più sicura del mondo è realmente al sicuro. Gli esperti di sicurezza hanno segnalato la rapida espansione di un malware che raccoglie i file di cache dal servizio di messaggistica istantanea cifrata Telegram. Questo malware è stato visto per la prima volta il 4 aprile 2018, con una seconda variante il 10 aprile.
Mentre la prima versione rubava credenziali e cookie del browser, insieme a tutti i file di testo che trovava sul sistema della vittima, la seconda variante ha aggiunto la capacità di raccogliere la cache desktop e i file di Telegram, nonché le informazioni di accesso per la piattaforma di videogiochi Steam.
La ricerca da parte delle case di sicurezza ha permesso l’identificazione dell’autore di questo malware che ha addirittura pubblicato diversi video su YouTube con le istruzioni su come usare i file raccolti da Telegram. I pirati informatici dietro questo malware utilizzano diversi account di pcloud.com per memorizzare le informazioni rubate. Queste informazioni non sono criptate, il che significa che chiunque abbia accesso a queste credenziali avrà accesso alle informazioni rubate.

Non è un bug di Telegram

Il malware non sta sfruttando alcuna vulnerabilità di Telegram. Influisce sulla versione desktop dell’app, che non supporta le chat segrete e presenta impostazioni predefinite molto deboli. 

Le chat segrete, come affermato da Telegram stesso, non sono supportate nelle versioni desktop e web di Telegram. Queste versioni sono basate su cloud, quindi non ci sono capacità di archiviazione locale. Il malware sfrutta la mancanza di chat segrete che è una funzionalità, non un bug vero e proprio. Telegram in versione desktop non prevede la funzione di disconnessione automatica. Questi due elementi insieme sono ciò che consente al malware di intercettare le conversazioni. I produttori di Telegram, hanno infatti precisato il comportamento del loro software su sistemi desktop:

Le chat segrete richiedono una memorizzazione permanente sul dispositivo, cosa che Telegram Desktop e Telegram Web non supportano al momento. Potremmo aggiungere questa possibilità in futuro. Al momento, sia l’app desktop sia quella Web caricano i messaggi dal Cloud all’avvio e li eliminano quando ci si scollega. Dato che le chat segrete non fanno parte del cloud, questo distruggerebbe tutte le tue chat segrete ogni volta che spegni il computer.

Le chat segrete sono anche specifiche del dispositivo e scompaiono se ti disconnetti. Considerando questo, è più pratico tenerle su un dispositivo che porti sempre con te. Se sei preoccupato per la sicurezza delle tue chat sul desktop, tieni presente che sono crittografate e ulteriormente protette dall’infrastruttura distribuita di Telegram. (dal sito Telegram)

Questo non significa che Telegram abbia un bug o che questa tecnica sia applicabile alle Chat Segrete fatte usando le piattaforme mobili. Rimane il fatto che così, con queste impostazioni, il malware lavora liberamente sui dati degli utenti.

Il video del malware

Attraverso le indagini, si è stati in grado di scoprire un video tutorial su come accedere e utilizzare queste informazioni per dirottare le sessioni di Telegram. In breve, nel video il presunto autore del malware ripristinava la cache e mappava i file in un’installazione desktop di Telegram con la sessione aperta. E’ così possibile accedere alla sessione delle vittime, ai contatti e alle chat precedenti.
Le chiavi utilizzate per crittografare i file sui dati desktop di Telegram sono archiviate nei file map*, che sono crittografati solo dalla password dell’utente. Supponendo che l’autore dell’attacco non abbia la password per questi file, non sarebbe difficile creare un meccanismo che permetta di decrittare questi dati. Poiché Telegram utilizza il protocollo AES per la sua crittografia, ovvero un sistema relativamente debole, l’attacco ha ampie possibilità di successo.
L’utente malintenzionato avrebbe accesso ai dati locali memorizzati nella cache. È importante capire che non esiste alcuna garanzia in merito a ciò che realmente viene archiviato localmente. L’unica certezza è che le chat sono archiviate nel cloud.
Il dirottamento di sessioni di Telegram è la caratteristica più interessante di questo malware: sebbene non stia sfruttando alcuna vulnerabilità, è piuttosto raro vedere malware che raccolgono questo tipo di informazioni. Questo malware dovrebbe essere considerato un allarme importante per gli utenti dei sistemi di messaggistica crittografata.
Se paragonata alle grandi reti di bot utilizzate da grandi imprese criminali, questa minaccia può essere considerata quasi insignificante. Tuttavia, questo mostra come lo sfruttamento delle “pieghe” delle impostazioni possa produrre grandi risultati, con un impatto significativo sulla privacy delle vittime. Queste credenziali e i cookie consentono all’attaccante di accedere alle informazioni private su siti Web come, vk.com, yandex.com, gmail.com, google.com, ecc. I campioni di malware analizzati non sono particolarmente sofisticati ma sono efficienti. Non esistono meccanismi di persistenza, il che significa che le vittime eseguono il malware automaticamente, ma non dopo il riavvio del pc.

Come limitare i danni

In attesa che Telegram intervenga con un aggiornamento, è possibile mettersi al sicuro con un software dedicato alla protezione delle comunicazioni come AMP