Немецкий Telegram спрашивает у пользователей разрешение на слежку

Немецкий Telegram спрашивает у пользователей разрешение на слежку

Немецкий Telegram проводит опрос, можно ли следить за пользователями. Среди вариантов: “допускаю передачу IP-адресов и номеров телефонов без решения суда”. Опросу предшествовала долгая полемика с федеральными властями.

Немецкие пользователи Telegram получили уведомление пройти опрос, касающийся передачи персональных данных властям.

Голосовать могут только обладатели немецких SIM-карт.

Доступно 4 варианта ответа:

  1. Допускаю передачу IP-адресов и номеров телефонов подозреваемых в терроризме только по решению суда. (Как сейчас и происходит)
  2. Допускаю передачу IP-адресов и номеров телефонов подозреваемых в серьезных уголовных преступлениях даже без решения суда. (Потребует изменения политик Telegram)
  3. Ни при каких обстоятельствах не разрешаю Telegram передавать мои данные, включая IP-адреса и номера телефонов, в том числе подозреваемых в терроризме. (Потребует изменений в самой структуре Telegram и соглашении о конфиденциальности)
  4. Воздержусь / не живу в Германии

Как пишет немецкое издание Netzpolitik.org, в опросе уже приняло участие миллион немецких пользователей. Дедлайн голосования — 5 сентября.

Сама идея такого исследования необычна и вызывает вопрос, что Telegram будет делать с его результатами. Возможно, Telegram уже наметил изменения и хотел бы подкрепить их общественным мнением. На запрос Netzpolitik.org в компании Дурова не ответили.

Журналисты сомневаются, что немецкие пользователи согласятся передавать данные без решения суда.

Третий вариант “ничего никому” может быть технически выполнен за счет перехода Telegram на сквозное шифрование по умолчанию, прекращения привязки номеров к учетной записи и сбора меньшего количества метаданных.

Если информация недоступна, её и невозможно передать властям. Так делают мессенджеры Threema и Signal. Последний может раскрывать только дату создания учетной записи и ее последнего использования.

Опросу предшествовал многомесячный спор Telegram и федерального правительства Германии. Мессенджер подталкивают к более тесному сотрудничеству с полицией. Возможности Telegram настораживают немецкие власти. Так, во время пандемии сервис был популярен среди антипрививочников и правых радикалов. Тогда Telegram все-таки заблокировал некоторые каналы и группы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

DuckLogs: многофункциональный троян-конструктор, уже пущенный в ход

Специалисты Cyble изучили нового Windows-зловреда, найденного в дикой природе. Как оказалось, DuckLogs умеет воровать информацию, подменять данные в буфере обмена, регистрировать клавиатурный ввод, открывать удаленный доступ к зараженной машине.

Вредонос предоставляется в пользование как услуга (по модели Malware-as-a-Service, MaaS), с подпиской на месяц, три месяца или на неограниченный срок. Новинка активно продвигается на хакерских форумах и, видимо, пользуется спросом: эксперты обнаружили в интернете множество активных экземпляров C2-сервера DuckLogs.

 

Админ-панель, предоставляемая клиентам MaaS-сервиса, позволяет создать бинарник с кастомным набором функций, мониторить ход вредоносной кампании, загрузку краденого и т. п. В панель можно добавить билдер для дроппера, который будет доставлять DuckLogs.

Анализ образца (скомпилированного с помощью .NET 32-битного файла BkfFB.exe) показал, что зловред при исполнении извлекает модуль Bunifu.UI.dll и загружает его в память, используя метод Invoke. Тот, в свою очередь, получает из ресурсов BkfFB.exe растровое изображение Gmtpo с вредоносной начинкой.

После декодирования растра в память загружается еще один .NET-файл — MajorRevision.exe. Этот модуль отвечает за проверку окружения, позволяющую избежать исполнения в песочнице или виртуальной машине.

На финальной стадии в память загружается DuckLogs.exe — по методу process hollowing. С этой целью BkfFB.exe создает новый экземпляр запущенного процесса, чтобы можно было подменить легитимный код вредоносным.

Устанавливаемый в систему вредонос обладает устойчивостью (прописывается на автозапуск), исполняется с админ-привилегями, умеет обходить UAC, отключать Microsoft Defender, Диспетчер задач, CMD, редактор системного реестра.

Его основной модуль, Stealer, обеспечивает кражу данных из разных программ:

  • браузеров (длинный список имен, в том числе экзотических вроде Librewolf и Waterfox),
  • почтовых клиентов (Outlook, ThunderBird),
  • мессенджеров,
  • VPN и FTP,
  • игровых приложений (Steam, Minecraft, Battle.net, Uplay).

Стилера также могут заинтересовать приложения-криптошельки или файлы пользователя по выбору — документы, исходные коды, базы данных, картинки.

Модуль Clipper тоже позволяет похитить криптовалюту, но иным способом: он изменяет адрес кошелька в буфере обмена с тем, чтобы транзакции проводились в пользу оператора DuckLogs. 

Модуль Logger регистрирует нажатия клавиш при вводе, Grabber ворует файлы из браузеров — избранное, историю, куки, учетные данные, загрузки.

Модуль Control позволяет оператору выполнять следующие действия в системе жертвы:

  • передавать и запускать другие файлы;
  • открывать любые страницы в браузере;
  • выключать и перезапускать компьютер, завершать сеанс, блокировать доступ;
  • деинсталлировать зловреда;
  • отправлять сообщения;
  • вызывать состояние отказа в обслуживании (DoS);
  • выводить «синий экран смерти» (BSOD);
  • отключать мышь и клавиатурный ввод.

Краденые данные выводятся на удаленный сервер в домене ducklogs[.]com. Исследователи выявили также несколько других C2-доменов, активно используемых DuckLogs: lovableduck[.]ru, ilovetheducks[.]ru, quackquack[.]ru, smallduck[.]ru, а также определили IP-адрес сервера — швейцарский 179.43.187[.]84.

Новую угрозу распознают больше половины антивирусов из коллекции VirusTotal (49/71 по состоянию на утро 2 декабря).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru