Telegram

Il malware che usa Telegram per evitare di essere scoperto

ToxicEye è un programma malware RAT che vive sulla rete di Telegram, comunicando con i suoi creatori attraverso il popolare servizio di chat
Il malware che usa Telegram per evitare di essere scoperto FASTWEB S.p.A.

All'inizio del 2021, decine di utenti hanno abbandonato WhatsApp in favore di altre app di messaggistica che promettevano una migliore sicurezza dei dati, dopo l'annuncio della società che avrebbe condiviso i metadati degli utenti con Facebook per impostazione predefinita. Molti di questi utenti hanno così deciso di affidarsi ad app concorrenti, come Telegram e Signal.
Telegram è stata senza dubbio l'app più scaricata, con oltre 63 milioni di installazioni nel gennaio del 2021.

Le chat di Telegram, tuttavia, non sono crittografate end-to-end come le chat di Signal, ed ora l’app scopre di avere un altro problema: il malware.

La società di software Check Point ha recentemente scoperto che alcuni gruppi malintenzionati utilizzano Telegram come canale di comunicazione per un programma malware chiamato ToxicEye. Si scopre che alcune delle funzionalità di Telegram possono essere utilizzate dagli aggressori per comunicare con il proprio malware più facilmente che tramite strumenti basati sul web. Gli hacker possono ora entrare nei computer infetti tramite un comodo chatbot di Telegram.

Cos’è ToxicEye e come funziona?

ToxicEye è un malware di tipo trojan ad accesso remoto (abbreviato in RAT). I RAT possono fornire ad un utente malintenzionato il controllo di una macchina infetta da remoto, il che significa che possono:

  •  rubare dati dal computer host.
  • eliminare o trasferire file.
  • chiudere i processi in esecuzione sul computer infetto.
  • dirottare microfono e fotocamera del computer per registrare audio e video senza il consenso dell'utente.
  • crittografare i file per estorcere un riscatto agli utenti.

 

Il RAT ToxicEye viene diffuso tramite uno schema di phishing. Ad un destinatario viene inviata un'e-mail con un file EXE incorporato. Se l'utente apre il file, il programma installa il malware sul dispositivo.

I RAT sono simili a quei programmi ad accesso remoto che, ad esempio, gli addetti del supporto tecnico utilizzano per prendere il comando del vostro computer e risolvere un problema. La differenza è che questi programmi si intrufolano senza permesso. Possono imitare file legittimi o essere nascosti, spesso camuffati da documenti o incorporati in un file più grande come un videogioco.

In che modo gli hacker utilizzano Telegram per controllare il malware?

Già nel 2017, gli hacker utilizzavano Telegram per controllare un software dannoso a distanza. Un esempio di ciò è il programma Masad Stealer che ha svuotato i portafogli crittografici delle vittime, quell'anno.

Il ricercatore di Check Point, Omer Hofman, afferma che la società ha rilevato 130 attacchi ToxicEye utilizzando questo metodo da febbraio ad aprile 2021.

Inoltre pare ci siano alcune caratteristiche che rendono Telegram utile a quei malintenzionati che intendono diffondere malware.

Per prima cosa, Telegram non è bloccato da software firewall né da strumenti di gestione della rete. È un'app facile da usare che molte persone riconoscono come legittima e, quindi, abbassano la guardia.

Registrarsi per la prima volta a Telegram richiede solo un numero di cellulare, quindi gli aggressori possono rimanere anonimi. Inoltre, consente loro di attaccare i dispositivi dal proprio dispositivo mobile, il che significa che possono lanciare un attacco informatico da qualsiasi luogo. L'anonimato rende estremamente difficile attribuire gli attacchi a qualcuno e fermarli.

La catena delle infezioni

Ecco come funziona la catena dell'infezione ToxicEye:

1.    L'aggressore crea prima un account Telegram e poi un "bot" di Telegram, che può eseguire azioni da remoto tramite l'app.
2.    Il token del bot viene inserito nel codice sorgente dannoso.
3.    Questo codice dannoso viene inviato come spam e-mail, spesso mascherato da qualcosa di legittimo su cui l'utente potrebbe cliccare.
4.    L'allegato viene aperto, viene installato sul computer host e invia le informazioni al centro di comando dell'attaccante tramite il bot di Telegram.

Poiché questo RAT viene inviato tramite e-mail di spam, non è nemmeno necessario essere un utente di Telegram, per essere infettato.

Come rimanere al sicuro?

Se pensate di aver scaricato ToxicEye, Check Point consiglia di controllare il seguente file sul PC: C: \Users\ToxicEye\rat.exe

Se lo trovate su un computer di lavoro, cancellate il file dal sistema e contattate immediatamente il vostro help desk. Se è su un dispositivo personale, cancellate il file ed eseguite subito una scansione del software antivirus.

Al momento della scrittura, alla fine di aprile 2021, questi attacchi sono stati scoperti solo su PC Windows. Se non avete già installato un buon programma antivirus, ora è il momento di scaricarlo.

Si applicano anche altri consigli collaudati per una buona "igiene digitale", come:

  • Non aprite allegati di posta elettronica che sembrano sospetti e/o provengono da mittenti sconosciuti.
  • Fate attenzione agli allegati che contengono nomi utente. Le e-mail dannose spesso includono il vostro nome utente nella riga dell'oggetto o il nome di un allegato.
  • Se l'email sta cercando di sembrare urgente, minacciosa o autorevole e vi fa pressione per cliccare su un collegamento o su un allegato, o fornire informazioni sensibili, probabilmente è dannoso.
  • Usate un software anti-phishing.

 

Il codice Masad Stealer è stato reso disponibile su Github in seguito agli attacchi del 2017. Check Point afferma che ha portato allo sviluppo di una serie di altri programmi dannosi, tra cui ToxicEye:

“Da quando Masad è diventato disponibile sui forum di hacking, dozzine di nuovi tipi di malware che utilizzano Telegram per comando e controllo e sfruttano le funzionalità di Telegram per attività dannose, sono stati trovati come armi "pronte all'uso" nei repository di strumenti di hacking in GitHub.”

Le aziende che utilizzano il software farebbero bene a considerare di passare a qualcos'altro o di bloccarlo sulle loro reti fino a quando Telegram non implementerà una soluzione per bloccare questo canale di distribuzione.

Nel frattempo, i singoli utenti dovrebbero tenere gli occhi aperti, essere consapevoli dei rischi e controllare regolarmente i propri sistemi per sradicare le minacce e magari prendere in considerazione il passaggio a Signal.
 

Fonte: howtogeek.com
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail