
Telegram akkauntingiz xavfsizligiga ishonchingiz komilmi? Xakerlar 2FA yoqilgan akkauntlarni ham zararli dastur yordamida mavjud sessiyani o’g’irlash orqali qo’lga kiritmoqda!
Yaqinda aniqlangan yangi macOS axborot o‘g‘irlovchi (Information Stealer) zararli dasturi Telegram Desktop foydalanuvchilari uchun jiddiy xavfsizlik tahdidini yuzaga keltirmoqda. Tahlillarga ko‘ra, ushbu zararkunanda Telegram Desktop ilovasining mahalliy sessiya (session) fayllarini o‘g‘irlash orqali foydalanuvchi akkauntiga parol, SMS tasdiqlash kodi yoki Telegram’ning ikki bosqichli himoyasi (Two-Step Verification) parolini qayta kiritishni talab qilmasdan kirish imkonini yaratadi.
Mutaxassislarning ta’kidlashicha, bu Telegram’ning 2FA himoyasi buzilgani degani emas. Aksincha, zararli dastur foydalanuvchining allaqachon tasdiqlangan va faol bo‘lgan sessiyasini nusxalab, uni boshqa qurilmaga ko‘chiradi. Natijada Telegram ushbu qurilmani yangi foydalanuvchi sifatida emas, balki avvaldan autentifikatsiyadan o‘tgan ishonchli sessiya sifatida qabul qiladi.
Hujum qanday amalga oshiriladi?
Telegram Desktop foydalanuvchi tizimida autentifikatsiya ma’lumotlarini maxsus tdata katalogida saqlaydi. Ushbu katalog foydalanuvchi akkauntining faol sessiyasini tasdiqlovchi kalitlar va boshqa xizmat ma’lumotlarini o‘z ichiga oladi.
Aniqlanishicha, zararli dastur:
- Telegram Desktop’ning tdata papkasini topadi;
- key_datas, maps va sessiyaga tegishli boshqa fayllarni nusxalaydi;
- ularni vaqtinchalik katalogga yig‘adi;
- siqilgan (ZIP) arxivga joylaydi;
- boshqa o‘g‘irlangan ma’lumotlar bilan birgalikda tajovuzkor boshqaruvidagi serverga yuboradi.
So‘ngra hujumchi ushbu fayllarni boshqa mos keluvchi macOS qurilmasiga joylashtiradi.
SlowMist laboratoriyasida o‘tkazilgan tajribalar shuni ko‘rsatdiki, macOS 12.7 va Telegram Desktop 4.16 versiyalarida sessiya muvaffaqiyatli tiklangan.
Natijada Telegram:
- telefon raqamini so‘ramagan;
- SMS tasdiqlash kodini talab qilmagan;
- Telegram Two-Step Verification parolini ham so‘ramagan.
Ilova darhol foydalanuvchining mavjud sessiyasini tiklab, barcha chatlar va xabarlarni sinxronlashtirishni boshlagan.
Bu 2FA buzilganini anglatadimi?
Yo‘q.
Mutaxassislar alohida ta’kidlashicha, bu holat ikki bosqichli autentifikatsiya mexanizmining buzilishi emas.
Telegram’ning 2FA himoyasi faqat yangi qurilmadan autentifikatsiya qilish jarayonida ishlaydi.
Ammo agar tajovuzkor foydalanuvchining allaqachon tasdiqlangan sessiyasiga tegishli fayllarni qo‘lga kiritsa, Telegram uni yangi kirish emas, balki mavjud sessiyaning davomiyligi sifatida qabul qiladi.
Shu sababli foydalanuvchidan:
- telefon raqami;
- SMS kodi;
- ikki bosqichli tasdiqlash paroli
qayta so‘ralmaydi.
Bu usul Session Hijacking (sessiyani o‘g‘irlash) yoki Session Reuse (sessiyadan qayta foydalanish) deb ataladi.
Telegram Desktop paroli nega muhim?
Tadqiqotchilar yana bir muhim jihatni aniqlashdi.
Agar foydalanuvchi Telegram Desktop Passcode funksiyasini yoqmagan bo‘lsa, sessiyani boshqa qurilmaga ko‘chirish ancha osonlashadi.
Aksincha, Desktop Passcode yoqilgan holatda tajovuzkor qo‘shimcha himoya qatlamini ham chetlab o‘tishi kerak bo‘ladi.
Demak, Desktop Passcode funksiyasi Telegram Desktop foydalanuvchilari uchun muhim qo‘shimcha himoya vositalaridan biri hisoblanadi.
Zarar faqat Telegram bilan cheklanmaydi
Mazkur zararli dastur faqat Telegram sessiyalarini o‘g‘irlash bilan cheklanmaydi.
Tahlillar davomida u quyidagi ma’lumotlarni ham nishonga olishi aniqlangan:
- macOS Keychain ma’lumotlari;
- brauzerlarda saqlangan login va parollar;
- brauzer Cookie fayllari;
- Apple Notes ichidagi yozuvlar;
- kriptovalyuta hamyonlari bazalari;
- Chromium brauzeridagi Wallet kengaytmalari.
Bundan tashqari zararli dastur foydalanuvchiga soxta macOS parol oynalarini ko‘rsatib, administrator parolini ham qo‘lga kiritishga urinadi.
Natijada tajovuzkor:
- brauzer parollarini;
- Keychain ma’lumotlarini;
- Telegram sessiyalarini;
- kriptohamyon kalitlarini
bir vaqtning o‘zida qo‘lga kiritishi mumkin.
Kriptovalyuta foydalanuvchilari ham nishonda
Mutaxassislar zararli dastur kamida 16 ta kriptovalyuta hamyoni ilovasini qidirishini aniqlashgan.
Bundan tashqari u:
- Ledger;
- Trezor;
- boshqa mashhur Wallet ilovalarining o‘rniga tashqi ko‘rinishi mutlaqo o‘xshash soxta ilovalarni o‘rnatishi mumkin.
Foydalanuvchi bunday ilovani ishga tushirganda, haqiqiy dastur o‘rniga tajovuzkor nazoratidagi sahifa ochiladi.
Ilova:
- asl ikonka;
- asl nom;
- odatiy interfeysdan foydalanganligi sababli foydalanuvchi hech narsadan shubhalanmasligi mumkin.
Natijada foydalanuvchi Recovery Phrase (Seed Phrase) ni kiritgach, ushbu maxfiy kalitlar bevosita tajovuzkor qo‘liga o‘tadi.
Eng xavflisi shundaki, Recovery Phrase bir marta o‘g‘irlanganidan so‘ng uni oddiy parolni almashtirish orqali himoya qilib bo‘lmaydi. Bunday vaziyatda yangi hamyon yaratish va barcha aktivlarni xavfsiz manzilga ko‘chirish zarur bo‘ladi.
Tahdidni aniqlash nega qiyin?
SlowMist tadqiqotchilarining ta’kidlashicha, sessiya nusxalangandan so‘ng u Telegram’dagi Active Devices ro‘yxatida har doim ham alohida yangi qurilma sifatida ko‘rinmasligi mumkin.
Shuningdek:
- ayrim chatlar lokal xotirada saqlanib qoladi;
- yangi xabar yuborish cheklangan taqdirda ham eski yozishmalarni ko‘rish mumkin.
Bu esa komprometatsiyani o‘z vaqtida aniqlashni yanada murakkablashtiradi.
Himoyalanish bo‘yicha tavsiyalar
Mutaxassislar quyidagi xavfsizlik choralarini tavsiya qilmoqda:
- Telegram Desktop uchun Desktop Passcode funksiyasini yoqish;
- Telegram’ning Two-Step Verification (2FA) himoyasini faollashtirish;
- Telegram’ning Active Sessions bo‘limini muntazam tekshirish va noma’lum sessiyalarni darhol yakunlash;
- shubhali holat aniqlansa, ishonchli qurilmadan barcha sessiyalarni bekor qilish va qayta autentifikatsiyadan o‘tish;
- Telegram Two-Step Verification parolini yangilash;
- Keychain, brauzer va boshqa joylarda saqlangan barcha parollarni almashtirish;
- Telegram Desktop va boshqa ilovalarni faqat rasmiy manbalardan yuklab olish;
- macOS, brauzer va Telegram Desktop ilovasini doimiy ravishda yangilab borish;
- antivirus hamda EDR yechimlari yordamida tizimni muntazam tekshirish;
- kriptovalyuta hamyonlarida shubhali holat aniqlansa, yangi Recovery Phrase yaratish va aktivlarni yangi hamyonga ko‘chirish.
SlowMist tomonidan aniqlangan ushbu zararli dastur Telegram’ning ikki bosqichli autentifikatsiyasini buzmaydi, biroq foydalanuvchining allaqachon tasdiqlangan sessiyasini o‘g‘irlash orqali himoya mexanizmlarini amalda chetlab o‘tadi. Bu esa shuni anglatadiki, 2FA yakka o‘zi mutlaq himoya kafolati emas. Agar qurilmaning o‘zi komprometatsiya qilinsa, sessiya fayllari tajovuzkor qo‘liga tushishi va ular orqali akkauntga ruxsatsiz kirish amalga oshirilishi mumkin.
Mazkur hodisa barcha foydalanuvchilarga muhim saboq bo‘lib xizmat qiladi: hisoblarni himoyalash faqat kuchli parol yoki 2FA bilan cheklanmaydi. Qurilmaning o‘zi xavfsiz bo‘lishi, sessiya ma’lumotlari ishonchli himoyalanishi, Telegram Desktop uchun alohida Passcode yoqilishi hamda tizim muntazam ravishda yangilanib borilishi zamonaviy kiberxavfsizlikning ajralmas talabi hisoblanadi.



