/nginx/o/2017/09/27/7144069t1h904c.jpg)
Эксперты по компьютерной безопасности из компании Cisco Talos обнаружили вредоносную программу, которая способна похищать данные из версии мессенджера Telegram для настольных компьютеров. Автором программы предположительно является русскоговорящий хакер под псевдонимом Enot272.
Согласно отчету Cisco Talos, в апреле 2018 года хакер дважды атаковал Telegram, в результате чего ему удалось похитить файлы кэша, а также ключи шифрования мессенджера. Эти ключи постоянно меняются, так что успех хакера не означает, что он может читать переписку всех пользователей.
В кэше Telegram хранятся файлы, которые пользователи использовали в переписках - документы, видео и аудиозаписи, фотографии.
Вредоносная программа атакует только версию мессенджера для компьютеров, поскольку в ней нет функции секретных чатов. Кроме того, по умолчанию в этой версии слабо настроена безопасность, отмечают в Cisco Talos.
Специалисты считают, что уязвимость позволяет получить доступ к сеансу, контактам и переписке жертвы. В частности, программа сканирует жесткие диски на компьютерах под управлением операционной системы Windows на предмет учетных данных браузера Google Chrome, cookie (настройки и статистика пользователя) и текстовых файлов, которые при обнаружении архивируются и загружаются на облачный сервис хранения данных pcloud.com.
Как полагают исследователи, автор вредоносной программы является русскоговорящим. Данная версия подкреплена обнаруженной на сервисе YouTube видеоинструкцией по использованию программы на русском языке. В настоящий момент видео недоступно.
Скорее всего, это дело рук хакера Racoon Hacker, также известного как Eyenot (Енот/Enot) и Racoon Pogoromist, считают в Cisco Talos.
В основном хакер использует для написания программ язык программирования Python, однако исследователи зафиксировали случаи распространения вредоносной программы в загрузчиках, написанных на менее популярных языках Go, AutoIT и .NET.
С аперля 2018 года Роскомнадзор пытается заблокировать Telegram в России, поскольку он не предоставляет спецслужбам ключи шифрования для чтения переписки пользователей. Мессенджер по-прежнему работает.
Администрация Telegram пока не комментирует информацию о взломе.
