思科Talos研究人员发现了名为Telegrab的病毒，这个病毒会从telegram桌面版中窃取信息。

我们知道Telegram正受到俄罗斯媒体监督机构Roskomnadzor的攻击，Roskomnadzor要求telegram分享技术细节以获取用户的聊天信息。上个月，俄罗斯当局封锁了telegram程序，因为telegram拒绝向俄罗斯联邦安全局提供用户的加密密钥。

　　窃取Telegram数据

分析这款恶意软件后研究人员发现，软件是由说俄语的黑客开发的，而目标也是俄语用户。

恶意代码是Telegrab恶意软件的一个变体，Telegrab首次发现于2018年4月4日功能是收集telegram的缓存和密钥文件。

Telegrab恶意软件的第二个版本发现于2018年4月10日，开发团队似乎非常活跃。

尽管Telegrab的第一个版本只会窃取文本文件，浏览器密码和cookie，但第二个版本实现了窃取Telegram缓存和Steam登录密码、劫持telegram聊天的能力。

Talos研究人员发现，恶意代码有意避免与匿名服务相关的IP地址。

　　“在过去的一个半月里，Talos已经看到一种恶意软件的出现，它从端到端的加密即时消息服务Telegram收集缓存和密钥文件。这款恶意软件于2018年4月4日首次出现，并于4月10日出现第二个版本。“思科Talos发布的博客文章。

　　高调的黑客

病毒的作者也略显高调，他为Telegrab发布了几个YouTube视频教程。甚至把部分代码发布到了GitHub上。

 

恶意软件作者使用了多个pcloud.com硬编码帐户来存储泄密数据，这些被盗信息未经过加密，也就是说，信息可能被轻易泄露。

　　“会话劫持是它最有趣的功能，这种攻击确实会限制会话劫持，受害者以前的聊天也会受到影响，”Talos团队说。

病毒会在Windows硬盘上搜索Chrome密码，会话Cookie和文本文件，然后将其压缩并上传到pcloud.com。

 

对恶意软件分析后，研究人员把黑客和一个名叫Racoon Hacker的黑客关联起来，这个用户也有些其他的名字：Eyenot(Енот/ Enot)和Racoon Pogoromist。

Telegrab想要达到的目的是在不被检测的情况下获取大量的用户密码。

这类的攻击行为往往与大规模的黑客团伙无关。窃取到的密码可以被黑客用来登陆一些其他服务，比如vk.com，yandex.com，gmail.com，google.com等。

最近对于聊天工具的攻击多了起来，之前也有针对Signal的攻击。通讯软件客户端的保护机制值得大家的关注。

(责任编辑：安博涛)