标签: Telegram

既能挖矿还能勒索,Eternity 恶意软件工具包正通过 Telegram 传播

据Bleeping Computer网站5月12日消息,目前,在网络上出现了一个名为“Eternity “(永恒不朽)的恶意软件即服务项目,威胁参与者可以购买恶意软件工具包,并根据所进行的攻击使用不同的模块进行定制。 这个模块化的工具包包括了信息窃取器、挖矿器、剪切板、勒索软件程序、蠕虫传播器以及即将上线的 DDoS攻击机器人,其中的每一个模块都单独购买。目前,该工具包正在一个 拥有 500 多名成员的专用 Telegram 频道上进行推广,发布者在该频道上会发布更新说明、使用说明并讨论相关的使用建议。对于那些购买了恶意软件工具包的人,可以在选择他们想要激活的功能并使用加密支付后,利用 Telegram Bot 自动构建二进制文件。 Eternity提供的主要模块 工具概览 以包年为时间单位,这些不同模块价格差异也往往较大: 挖矿器:90美元/年,具有隐藏任务管理器、进程被杀死时自动重启和启动持久性的功能; 剪切板:110 美元/年,是一种实用程序,可监视剪贴板中的加密货币钱包地址,以将其替换为攻击者自身的钱包; 信息窃取器:260 美元/年,能窃取存储在 20 多个网络浏览器中的密码、信用卡、书签、令牌和cookie 等数据; 蠕虫传播器: 390 美元/年,使恶意软件能够通过 USB 驱动程序、本地网络共享、本地文件、云驱动器、Python 项目(通过解释器)、Discord 帐户和 Telegram 帐户自行传播; 勒索软件程序:490 美元/年,能够针对文档、照片和数据库使用 AES 和 RSA 组合的离线加密。开发者声称它是 FUD(完全无法检测到),并且能够设置一个倒计时器,使文件在到期时完全无法恢复,以给受害者带来额外的压力,迫使他们迅速支付赎金。 勒索软件倒计时器 发现Eternity 项目的Cyble 分析师认为,虽然他们还没有机会检查所有模块,但他们已经看到恶意软件的样本在野外传播和使用,并且在Telegram上已经搜集到了一些真实的威胁反馈。 通过查看窃取器模块,Cyble 分析师发现与 Jester Stealer 有几个相似之处,两者都可能源自一个名为DynamicStealer的 GitHub 项目。因此,Eternity很可能是该代码的副本,通过进行修改和更名后在Telegram 上出售。 由于这些模块支持自动化构建,并对如何使用进行了详细说明,使其能够成为“新手”黑客手中的有力武器,并对互联网用户构成严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/333021.html 封面来源于网络,如有侵权请联系删除

Signal 创始人:Telegram 并不安全,甚至还不如 Facebook

Telegram已经赢得了越来越多的声誉,并且正如一些人可能认为的那样,成为了WhatsApp或Messenger的更安全的替代品–跟Signal应用一样的东西。然而,Telegram在提供额外网络安全方面的声誉被过分夸大了–这是Signal创始人Moxie Marlinspike在本周强调的东西。 更新:来自Telegram方面的回应 更新: Telegram方面回应称,Signal创始人的说法是错误的,Telegram 上发送的所有消息都经过安全加密,Telegram 云中保存的内容也经过加密。除了云聊天外,Telegram 还提供端到端加密的秘密聊天,不会在 Telegram 的服务器上留下任何痕迹。 Marlinspike对这位Signal最大的竞争对手之一提出了一些严厉的批评,它抨击了Telegram提供任何端到端加密的流行观点。Marlinspike指出,通过Telegram发送的信息会以其原始形式或纯文本存储在Telegram的服务器上,并且这家公司没有进行任何形式的加密来保护用户的私人数据。  他继续说道,在这方面,甚至Facebook的Messenger和WhatsApp都比Telegram提供了更大的隐私。据其披露,这两个由现在改名为Meta的公司运营的应用至少为通过其平台发送的所有文本信息提供端对端加密。 Telegram将所有通过该应用发送的数据存储在其云端并以完全暴露的格式存储:文本、共享媒体、联系人,所有东西对任何愿意查看的人来说基本上都是免费的。 这是一个即使按照Facebook的标准也无法接受的现实,因为Facebook在涉及到个人在线隐私时以缺乏关怀而闻名。甚至Messenger也为存储在其服务器上的数据提供最低标准的端到端加密协议。然而,任何能访问Telegram服务的人都可以直接访问整个用户的无保护数据数据库。 正如Winfuture(首次报道此事)所指出的那样,Telegram应用本质上是一个开放的窗口,它可以进入存储该平台上所有历史的服务器,使私人用户的一切可见,就像另一边的服务器运营商可见一样,需要零的额外努力才能直接访问。 重点是,如果任何人如黑客有任何兴趣窥探你在Telegram中的个人信息,那么他们可以很容易地做到这点。 因此如果有任何关于Telegram是“安全”的陈旧观念挥之不去,最好是一劳永逸地删掉它。   (消息及封面来源:cnBeta)

Telegram 在修复隐私漏洞后发布新版本

Telegram 最新发布的客户端版本为 5.11,该版本修复了一个严重的隐私漏洞。由于此应用在 Google Play 商店的下载量超过1亿次,这将会是一起严重的隐私侵权事故。 Telegram 在 3 月发布了一项新功能,允许发件人删除已发送的邮件,同时将其从收件人的设备中删除。这项功能旨在保护发件人的隐私,适用于不小心发送或者想要撤回消息的情况。 在研究 Telegram 的 MTProto 协议时,安全研究员 Dhiraj Mishra 发现了与消息删除功能相关的错误。 他注意到,当发件人从 Telegram 中删除了一条消息,图像或文件时,它将从当前会话中删除,但不会从设备本地删除。对于Android用户,这将允许收件人在`/ Telegram / Telegram Images / `路径下查看已删除的媒体。 此错误不仅发生在单人会话中,还涉及到了 Telegram 超级组。如果用户在组内误发了一个文件并撤回,这样看似自己的隐私得到了保护,但其实组内所有成员都可以从其设备的文件系统访问该文件。 “假设你是一个 2,000,00 人的小组中的一员,你不小心分享了一个媒体文件,并且想要通过‘对所有人撤回’功能来删除它。”Mishra 在他的文章中说,“但是这个方法有漏洞,所以你的文件仍然存在于所有用户的存储中。” 在报告错误后,Telegram 奖励了Mishra 2,500 欧元。此错误已在 5.11 版本中修复,该版本今天针对 Android 和 iOS 发布。 用户可以通过安装此更新来修复该错误,但 Mishra 告诉我们,收件人仍然可以查看到在旧版本中未正确删除的媒体。     消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Telegram 修复了针对用户账户的语音信箱劫持漏洞

即时通讯服务 Telegram 在周末发布了修复程序,以防止黑客滥用语音邮件账户、获得对其它用户账户的访问权限。过去几个月,巴西的千余名 Telegram 用户一直在受到所谓的“语音信箱黑客劫持”事件的困扰。受害者中甚至包括了一些当地的政客,比如巴西总统 Jair Bolsonaro、司法部长 Sergio Moro、以及经济部长 Paulo Guedes 。 Play 应用商店截图(via ZDNet) 那么,黑客又是如何攻破 Telegram 账户防线的呢?据悉,问题出在将 Telegram 账户添加到新设备的过程。 用户可以请求通过语音消息呼叫,将短信验证码发送到账户所有者的手机上。如果用户三次未能接听电话、或忙于应答另一通电话,则该密码会被发送到用户指定运营商的语音信箱账户。 然后,黑客会利用 VoIP 服务来伪装自己,忽悠出受害者的电话号码、使用默认的 0000 或 1234 密码(大多数用户并不会更改)来访问语音信箱,以获取 Telegram 的登录密码。 如此一来,攻击者就获得了在新设备上添加 Telegram 账户的一次性密码。之后,攻击者可劫持合法账户来发送垃圾邮件,或者挖掘巴西政客的消息历史。 庆幸的是,Telegram 在周末推出了一个修复程序,能够阻止这方面的攻击得逞。该公司发言人在接受 ZDNet 采访时称: “若您的账户启用了两步验证,就只能通过账户绑定的号码来获取”。 Telegram 证实,该修复程序已面向所有 Telegram 用户推出,因为受影响的不仅仅是巴西当地的用户。 自 2017 年以来,这一攻击已经被许多人所知晓。此前,同样的招数还在 WhatsApp 身上发生过。 之后,安全研究人员证实同样的漏洞可被用于劫持 Facebook、谷歌、Twitter、WordPress、eBay 或 PayPal 等服务。   (稿源:cnBeta,封面源自网络。)

黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码

2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为: –  Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater) –  PoisonFrog(旧版BondUpdater) –  HyperShell(称之为TwoFace的Palo Alto Networks网络外壳) –  HighShell(另一个Web shell) –  Fox Panel(钓鱼工具包) –  Webmask(DNS隧道,DNSpionage背后的主要工具) 根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。   (稿源:cnBeta,封面源自网络。)

Telegram 被指默认设置状态下会在用户通话过程中曝光 IP 地址

据外媒报道,Telegram 是一款可以让用户在互联网上与其他用户展开加密聊天和通话的通信应用。这款程序自称是一款安全的私人通信应用程序,然而一项研究发现,在它的默认配置下,它会在用户通话过程中泄露出 IP 地址。 在默认设置下,Telegram 的语音通话通过 P2P2 进行。当使用 P2P 的时候,用户通话对象的IP地址则会出现在 Telegram 控制日志上。不过不是所有的版本都有控制日志。比如 Windows 版不会,但 Linux 版却有。 Telegram 应用确实表明过用户可以通过改变设置防止 IP 地址被泄露,操作入下:设置-私人与安全-语音电话-将 Peer-to-Peer 改成 Never 或 Nobody 。这样设置后,用户将需要通过 Telegram 服务器拨打语音电话,虽然隐藏了 IP 地址但却要付出音频质量下降的代价。 问题是虽然 iOS 和 Android 用户可以关掉 P2P 电话功能,但安全研究员 Dhiraj 发现,官方桌面版和 Windows 版都无法禁用这个功能。这意味着这部分用户的 IP 地址会在他们使用语音通话时遭到泄露。下面是 Ubuntu 桌面版 Telegram 的一个例子: 作为一个以安全和私密性而著称的应用,Telegram 为何会存在这样一个漏洞呢?当外媒 BleepingComputer 询问 Dhiraj Telegram 这么做是否存在任何原因时,后者给出的回应是:“没有,关于这个并没有得到任何评论。” 此外,BleepingComputer 还联系了 Telegram 但也还未收到回复。   稿源:cnBeta.COM,封面源自网络;

俄罗斯 Telegrab 恶意软件获取桌面版 Telegram 的凭证、cookie、桌面缓存和关键文件

思科 Talos 集团的安全专家发现了一种新型的恶意软件 Telegrab ,针对桌面版端到端加密即时消息服务 Telegram 发起攻击。 分析表明,这个恶意软件是由现一个讲俄语的攻击者开发的,目标受害者是讲俄语的用户。 研究人员捕获的恶意代码是 Telegrab 恶意软件的一个变体,于 2018 年 4 月 4 日首次出现在野利用,目的是从 Telegram 应用程序中收集缓存和关键文件。第二个版本于 2018 年 4 月 10 日出现,与第一版不同,这一版除了搜集文本文件、浏览器凭证和 cookie 以外,还能获取桌面版 Telegram 的缓存以及移动登录凭证,进而劫持活跃的 Telegram 会话。 Talos研究人员发现,恶意代码有意避免与匿名服务相关的IP地址。幕后攻击者使用多个pcloud.com硬编码帐户来存储泄密数据,被盗信息未经过加密,导致任何访问这些帐户凭证的人都可以获取泄露数据。   稿源:Freebuf,封面源自网络;

继俄罗斯之后,伊朗法院也宣布了 Telegram 禁令

上个月,伊朗政府曾发出过将关闭即时通讯应用 Telegram 的信号。现在,德黑兰一家法院颁布了 Telegram 禁令,它要求伊朗电信服务供应商屏蔽掉这款软件。伊朗方面一直在担心这款软件在其国内抗议和动乱中发挥作用。 禁令指出,Telegram 在去年德黑兰的一次袭击中为伊斯兰国提供了“安全地带”同时还在去年 12 月和今年 1 月的抗议活动中–这是该国近十年内最大规模的一次抗议–发挥了作用。 获悉,在伊朗大约有 4000 万用户在使用 Telegram,这占到该应用总用户人数的 1/5。由于伊朗政府无法提供端到端的加密通信,这成为了 Telegram 在该国这么受欢迎的主要原因。 而就在几个月前,俄罗斯一家法院也作出了要求俄罗斯电信供应商屏蔽 Telegram 的判决结果。 稿源:cnBeta,封面源自网络;

俄罗斯封杀 Telegram 的 IP 数已破 1800 万个 谷歌确认部分服务无法使用

由于拒绝向俄罗斯情报部门 FSB 提交用户的加密秘钥,俄罗斯联邦通信监管局(Roskomnadzor)在今年 4  月 13  日(周五)开始封杀 Telegram  客户端。随后 Telegram 创始人兼 CEO 帕维尔·杜罗夫(Pavel Durov)宣布将服务迁移至亚马逊和谷歌的云服务器上,以便于继续为俄罗斯境内用户提供服务。 然而此举也引发了进一步封杀,Roskomnadzor 在 4 月 17 日封杀了 180 万个隶属于谷歌和亚马逊的云服务IP地址,共计 1,835,008 个 IP 地址,不过目前封杀 IP 数量已经升级至 1800 万个,在峰值的时候达到 1900 万个。在封杀 Telegram 的同时,也导致一些使用谷歌和亚马逊服务的正常网站受到影响。 据悉,包括 Google Search、Gmail 和众多 Android 应用的信息推送服务受到影响。Google 发言人表示:“我们已经收到多个报告,部分俄罗斯境内的用户无法访问某些 Google 产品,目前我们已经着手介入调查。” 而伴随着 Google 的声明,俄罗斯监管部门 Roskomnadzor 今天再次宣布扩大 IP 封杀范围。在峰值的时候,Roskomnadzor 已经封杀了将近 1900 万个 IP 地址,包括 Twitch 和 Spotify 等诸多使用谷歌和亚马逊云服务的第三方服务也被误杀。 Vee Security(提供代理服务绕过俄罗斯政府封杀)的首席运营官兼联合创始人 Ilya Andreev 表示:“ Roskomnadzor 封杀 Telegram 的行为非常糟糕,所以大部分人还能不依靠任何中介正常访问。” 稿源:cnBeta,封面源自网络;

继俄罗斯后,伊朗也发出将禁掉 Telegram 的信号

据外媒报道,伊朗政府似乎也打算在本国禁掉 Telegram,而就在几日前,俄罗斯颁布了 Telegram 禁令。实际上在今年早些时候,伊朗曾暂时禁过 Telegram 和 Instagram。Telegram 是一款加密的即时通讯应用程序,它还能为新闻机构乃至政府机构使用。 据悉,这款应用在伊朗拥有 4000 万名用户,而该国上网的用户大概也只有 5000 万,可见 Telegram 在这个国家的普及性。 当地时间周三,伊朗最高领袖哈梅内伊( Ayatollah Khamenei )表示,为了遏制 Telegram 的“垄断”,各政府机构将不能再使用 Telegram。哈梅内伊则是在个人 Telegram 频道上发布了这条消息,如此看来 Telegram 在该国拥有绝对的垄断地位。 《卫报》报道称,除了遏制 Telegram,伊朗政府此举还有一个目的–支持本国的社交媒体应用。尽管哈梅内伊的这条消息暗示了即将到来的 Telegram 禁令,但牛津互联网研究所博士生 Mahsa Alimardani 表示,至于伊朗政府未来真的要关闭 Telegram 现还不能确定,但显然比其他任何时候都更有可能。 Alimardani 指出,一直以来,伊朗政府在对待通信这个问题上尤为直言不讳,今年一月它就曾经暂时禁掉了 Telegram。 目前,伊朗政府至少已经开始尝试让本国用户转移到 iGap、Soroush、Gap 等本土通信平台上。 据了解,俄罗斯方面在实行 Telegram 禁令时采取了屏蔽属于美国谷歌和亚马逊云端服务的 IP,而这致使上百万个 Telegram 的 IP 地址受到了影响。现在还不清楚伊朗是否也会采取类似的手段。 稿源:cnBeta,封面源自网络