Эксперты по кибербезопасности из компании Cisco Talos обнаружили новое вредоносное ПО для Telegram, атакующее пользователей десктопной версии мессенджера. Как полагают специалисты, автор вредоноса, скорее всего, является русскоговорящим.

Согласно отчету исследователей, в апреле текущего года были зафиксированы по меньшей мере две атаки, в ходе которых злоумышленники похитили файлы кеша, а также ключи шифрования из мессенджера Telegram.

Причина, по которой вредоносная программа атакует только версию мессенджера для компьютеров, заключается в отсутствии поддержки функции «секретных чатов», а также в слабых настройках безопасности, установленных по умолчанию.

Вредонос работает «путем восстановления файлов с кешем и ключами шифрования в запущенной десктопной версии Telegram», позволяя злоумышленнику получить доступ к сеансу, контактам и переписке жертвы. В частности, программа сканирует жесткие диски на компьютерах под управлением ОС Windows на предмет учетных данных браузера Google Chrome, cookie- и текстовых файлов, которые при обнаружении архивируются и загружаются на облачный сервис хранения данных pcloud.com.

Как полагают исследователи, автор вредоносного ПО является русскоговорящим. Данная теория подкреплена обнаруженной на сервисе YouTube видеоинструкцией по использованию программы на русском языке. В настоящий момент видео недоступно. Скорее всего, вредонос является делом рук хакера Racoon Hacker, также известного как Eyenot (Енот/Enot) и Racoon Pogoromist.

В основном хакер использует для написания программ язык программирования Python, однако исследователи зафиксировали случаи распространения вредоносного ПО в загрузчиках, написанных на языках Go, AutoIT и .NET.