シスコのセキュリティ研究部門であるTalos Intelligenceは、デスクトップ版Telegramメッセンジャーから暗号鍵とキャッシュデータを盗む新しいタイプのマルウェアを発見しました。このニュースは、ロシアとイラン両政府が自国でTelegramメッセンジャーのブロックを開始した後に発表されました。
「Telegrab」マルウェア
Talosの研究者たちは、2018年4月4日に「Telegrab」と名付けたこのマルウェアを初めて確認し、4月10日に2番目の亜種が出現しました。最初のバージョンは、ブラウザの認証情報とCookieに加え、システム上で発見されたすべてのテキストファイルを窃取しました。2番目の亜種はアップグレードされ、Telegramのキャッシュファイルと暗号化キー、そしてSteamウェブサイトのログイン認証情報を窃取するようになりました。
セキュリティ研究者らによると、このマルウェアは主にロシア語話者をターゲットにしており、匿名化サービスを利用するIPアドレスを意図的に回避しようとしているという。
このマルウェアは、Telegramアプリケーションのデスクトップ版の設計上の欠陥を悪用します。この欠陥は、エンドツーエンドの暗号化チャットを全くサポートしていません(モバイルアプリでは「シークレットチャット」モードでのみオプションとしてサポートされています)。そのため、自動ログアウト機能も欠如しており、マルウェアはTelegramのデスクトップ版に保存されているファイルにアクセスできるようになります。
インパクト
Talosチームは、Telegramのデスクトップ版など、デフォルト設定が不適切な暗号化メッセンジャーは、ユーザーのプライバシーとセキュリティを危険にさらす可能性があると警告しました。研究者らはまた、このマルウェアはそれほど高度ではないものの、効率的であると述べています。例えば、ユーザーのマシンに永続的に残らないため、再起動すると消えてしまいます。
それでも、マルウェアの開発者は1ヶ月足らずで数千件もの認証情報を盗み出すことに成功しました。ユーザーがパスワードを使い回している場合(もちろん、これは珍しいことではありません)、攻撃者はこれらの認証情報を使って他のオンラインサービスにログインすることもできます。
Telegram がユーザーのデータを盗むこの種のマルウェアに対する独自の保護メカニズムを実装するまでは、この種のマルウェアを検出してブロックできるウイルス対策プログラムに頼る必要があるかもしれません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
