{"id":51658,"date":"2018-05-17T18:28:39","date_gmt":"2018-05-17T17:28:39","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=51658"},"modified":"2019-07-11T20:23:00","modified_gmt":"2019-07-11T19:23:00","slug":"malware-russo-raccoglie-credenziali-e-file-chat-di-telegram-desktop","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/malware-russo-raccoglie-credenziali-e-file-chat-di-telegram-desktop\/51658\/","title":{"rendered":"Malware russo raccoglie credenziali e file chat di Telegram Desktop"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69fce5ad6859a\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69fce5ad6859a\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/malware-russo-raccoglie-credenziali-e-file-chat-di-telegram-desktop\/51658\/#Non_e_un_bug_di_Telegram\" >Non \u00e8 un bug di Telegram<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/malware-russo-raccoglie-credenziali-e-file-chat-di-telegram-desktop\/51658\/#Il_video_del_malware\" >Il video del malware<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/malware-russo-raccoglie-credenziali-e-file-chat-di-telegram-desktop\/51658\/#Come_limitare_i_danni\" >Come limitare i danni<\/a><\/li><\/ul><\/nav><\/div>\n<div><span class=\"notranslate\">Nemmeno la chat pi\u00f9 sicura del mondo \u00e8 realmente al sicuro. Gli esperti di sicurezza hanno segnalato la rapida espansione di un malware che raccoglie i file di cache dal servizio di messaggistica istantanea cifrata Telegram.<\/span>\u00a0<span class=\"notranslate\">Questo malware \u00e8 stato visto per la prima volta il 4 aprile 2018, con una seconda variante il 10 aprile.<\/span><\/div>\n<div><\/div>\n<div><span class=\"notranslate\">Mentre la prima versione rubava credenziali e cookie del browser, insieme a tutti i file di testo che trovava sul sistema della vittima, la seconda variante ha aggiunto la capacit\u00e0 di raccogliere la cache desktop e i file di Telegram, nonch\u00e9 le informazioni di accesso per la piattaforma di videogiochi Steam.<\/span><\/div>\n<div><span class=\"notranslate\">La ricerca da parte delle case di sicurezza ha permesso l&#8217;identificazione dell&#8217;autore di questo malware che<\/span><span class=\"notranslate\">\u00a0ha addirittura pubblicato diversi video su YouTube con le istruzioni su come usare i file raccolti da Telegram.\u00a0<\/span><span class=\"notranslate\">I pirati informatici dietro questo malware utilizzano diversi account di pcloud.com per memorizzare le informazioni rubate.<\/span>\u00a0<span class=\"notranslate\">Queste informazioni non sono criptate, il che significa che chiunque abbia accesso a queste credenziali avr\u00e0 accesso alle informazioni rubate.<\/span><\/div>\n<div><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Non_e_un_bug_di_Telegram\"><\/span>Non \u00e8 un bug di Telegram<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span class=\"notranslate\">Il malware non sta sfruttando alcuna vulnerabilit\u00e0 di Telegram.<\/span>\u00a0<span class=\"notranslate\">Influisce sulla versione desktop dell&#8217;app, che non supporta le chat segrete e presenta impostazioni predefinite molto deboli.\u00a0<\/span><\/p>\n<div><span class=\"notranslate\">Le chat segrete, come affermato da Telegram stesso, non sono supportate nelle versioni desktop e web di Telegram.<\/span>\u00a0<span class=\"notranslate\">Queste versioni sono basate su cloud, quindi non ci sono capacit\u00e0 di archiviazione locale.<\/span>\u00a0<span class=\"notranslate\">Il malware sfrutta la mancanza di chat segrete che \u00e8 una funzionalit\u00e0, non un bug vero e proprio.<\/span>\u00a0<span class=\"notranslate\">Telegram in versione desktop non prevede la funzione di disconnessione automatica.<\/span>\u00a0<span class=\"notranslate\">Questi due elementi insieme sono ci\u00f2 che consente al malware di intercettare le conversazioni. I produttori di Telegram, hanno infatti precisato il comportamento del loro software su sistemi desktop:<\/span><\/div>\n<div><\/div>\n<div>\n<blockquote><p><span class=\"notranslate\"><em>Le chat segrete richiedono una memorizzazione permanente sul dispositivo, cosa che Telegram Desktop e Telegram Web non supportano al momento.<\/em><\/span>\u00a0<span class=\"notranslate\"><em>Potremmo aggiungere questa possibilit\u00e0 in futuro.<\/em><\/span>\u00a0<span class=\"notranslate\"><em>Al momento, sia l&#8217;app desktop sia quella Web caricano i messaggi dal Cloud all&#8217;avvio e li eliminano quando ci si scollega.<\/em><\/span>\u00a0<span class=\"notranslate\"><em>Dato che le chat segrete non fanno parte del cloud, questo distruggerebbe tutte le tue chat segrete ogni volta che spegni il computer.<\/em><\/span><\/p>\n<p><span class=\"notranslate\"><em>Le chat segrete sono anche specifiche del dispositivo e scompaiono se ti disconnetti. Considerando questo, \u00e8 pi\u00f9 pratico tenerle su un dispositivo che porti sempre con te.<\/em><\/span>\u00a0<span class=\"notranslate\"><em>Se sei preoccupato per la sicurezza delle tue chat sul desktop, tieni presente che sono crittografate e ulteriormente protette dall&#8217;infrastruttura distribuita di Telegram. (dal sito Telegram)<\/em><\/span><\/p><\/blockquote>\n<\/div>\n<div><span class=\"notranslate\">Questo non significa che Telegram abbia un bug o che questa tecnica sia applicabile alle Chat Segrete fatte usando le piattaforme mobili.\u00a0<strong>Rimane il fatto che cos\u00ec, con queste impostazioni, il malware lavora liberamente sui dati degli utenti.<\/strong><\/span><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Il_video_del_malware\"><\/span>Il video del malware<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<div><span class=\"notranslate\">Attraverso le indagini, si \u00e8 stati in grado di scoprire un\u00a0video tutorial\u00a0su come accedere e utilizzare queste informazioni per dirottare le sessioni di Telegram.<\/span>\u00a0<span class=\"notranslate\">In breve, nel video il presunto autore del malware ripristinava la cache e mappava i file in un&#8217;installazione desktop di Telegram con la sessione aperta.<\/span>\u00a0<span class=\"notranslate\">E&#8217; cos\u00ec possibile accedere alla sessione delle vittime, ai contatti e alle chat precedenti.<\/span><\/div>\n<div><\/div>\n<div><span class=\"notranslate\">Le chiavi utilizzate per crittografare i file sui dati desktop di Telegram sono archiviate nei file map*, che sono crittografati solo dalla password dell&#8217;utente.\u00a0<\/span><span class=\"notranslate\">Supponendo che l&#8217;autore dell&#8217;attacco non abbia la password per questi file, non sarebbe difficile creare un meccanismo che permetta di decrittare questi dati.<\/span>\u00a0<span class=\"notranslate\">Poich\u00e9 Telegram utilizza il protocollo AES per la sua crittografia, ovvero un sistema relativamente debole, l&#8217;attacco ha ampie possibilit\u00e0 di successo.<\/span><\/div>\n<div>\n<div><\/div>\n<div><span class=\"notranslate\">L&#8217;utente malintenzionato avrebbe accesso ai dati locali memorizzati nella cache.<\/span>\u00a0<span class=\"notranslate\">\u00c8 importante capire che non esiste alcuna garanzia in merito a ci\u00f2 che realmente viene archiviato localmente.<\/span>\u00a0<span class=\"notranslate\">L&#8217;unica certezza \u00e8 che le chat sono archiviate nel cloud.<\/span><\/div>\n<\/div>\n<div><\/div>\n<div>\n<div><span class=\"notranslate\">Il dirottamento di sessioni di Telegram \u00e8 la caratteristica pi\u00f9 interessante di questo malware: s<\/span><span class=\"notranslate\">ebbene non stia sfruttando alcuna vulnerabilit\u00e0, \u00e8 piuttosto raro vedere malware che raccolgono questo tipo di informazioni.<\/span>\u00a0<span class=\"notranslate\">Questo malware dovrebbe essere considerato un allarme importante per gli utenti dei sistemi di messaggistica crittografata.<\/span><\/div>\n<div><\/div>\n<div><span class=\"notranslate\">Se paragonata alle grandi reti di bot utilizzate da grandi imprese criminali, questa minaccia pu\u00f2 essere considerata quasi insignificante.<\/span>\u00a0<span class=\"notranslate\">Tuttavia, questo mostra come lo sfruttamento delle &#8220;pieghe&#8221; delle impostazioni possa produrre grandi risultati, con un impatto significativo sulla privacy delle vittime.<\/span>\u00a0<span class=\"notranslate\">Queste credenziali e i cookie consentono all&#8217;attaccante di accedere alle informazioni private su siti Web come, vk.com, yandex.com, gmail.com, google.com, ecc. I campioni di malware analizzati non sono particolarmente sofisticati ma sono efficienti.<\/span>\u00a0<span class=\"notranslate\">Non esistono meccanismi di persistenza, il che significa che le vittime eseguono il malware automaticamente, ma non dopo il riavvio del pc.<\/span><\/div>\n<\/div>\n<h2><span class=\"ez-toc-section\" id=\"Come_limitare_i_danni\"><\/span>Come limitare i danni<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In attesa che Telegram intervenga con un aggiornamento, \u00e8 possibile mettersi al sicuro con un software dedicato alla protezione delle comunicazioni come\u00a0<strong><a href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/advanced-malware-protection\/index.html#~stickynav=1\" target=\"_blank\" rel=\"noopener noreferrer\">AMP<\/a><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nemmeno la chat pi\u00f9 sicura del mondo \u00e8 realmente al sicuro. Gli esperti di sicurezza hanno segnalato la rapida espansione di un malware che raccoglie i file di cache dal servizio di messaggistica istantanea cifrata Telegram.\u00a0Questo malware \u00e8 stato visto per la prima volta il 4 aprile 2018, con una seconda variante il 10 aprile. [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":51661,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413],"tags":[],"class_list":{"0":"post-51658","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/05\/telegram2.jpg","wps_subtitle":"Gi\u00e0 sotto l\u2019attacco del ministero delle telecomunicazioni russo, una nuova fonte di guai per l\u2019app Telegram: malware","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=51658"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51658\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/51661"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=51658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=51658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=51658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}