In che modo il malware RAT utilizza Telegram per evitare il rilevamento

14

DANIEL CONSTANTE / Shutterstock.com

Telegram è una comoda app di chat. Anche i creatori di malware la pensano così! ToxicEye è un programma malware RAT che trasporta sulla rete di Telegram, comunicando con i suoi creatori attraverso il popolare servizio di chat.

Malware che chatta su Telegram

All'inizio del 2021, decine di utenti hanno lasciato WhatsApp per le app di messaggistica promettendo una migliore sicurezza dei dati dopo l'annuncio della società che avrebbe condiviso i metadati degli utenti con Facebook per impostazione predefinita. Molte di queste persone sono andate alle app concorrenti Telegram e Signal.

Telegram è stata l'app più scaricata, con oltre 63 milioni di installazioni nel gennaio del 2021, secondo Sensor Tower. Le chat di Telegram non sono crittografate end-to-end come le chat di Signal e ora Telegram ha un altro problema: il malware.

La società di software Check Point ha recentemente scoperto che i malintenzionati utilizzano Telegram come canale di comunicazione per un programma malware chiamato ToxicEye. Si scopre che alcune delle funzionalità di Telegram possono essere utilizzate dagli aggressori per comunicare con il proprio malware più facilmente che tramite strumenti basati sul web. Ora possono fare confusione con i computer infetti tramite un comodo chatbot di Telegram.

Che cos'è ToxicEye e come funziona?

ToxicEye è un tipo di malware chiamato trojan di accesso remoto (RAT). I RAT possono fornire a un utente malintenzionato il controllo di una macchina infetta da remoto, il che significa che possono:

  • rubare dati dal computer host.
  • eliminare o trasferire file.
  • uccidere i processi in esecuzione sul computer infetto.
  • dirottare il microfono e la fotocamera del computer per registrare audio e video senza il consenso o la conoscenza dell'utente.
  • crittografare i file per estorcere un riscatto agli utenti.

ToxicEye RAT viene diffuso tramite uno schema di phishing in cui a un target viene inviata un'e-mail con un file EXE incorporato. Se l'utente mirato apre il file, il programma installa il malware sul proprio dispositivo.

I RAT sono simili ai programmi di accesso remoto che, ad esempio, qualcuno nel supporto tecnico potrebbe utilizzare per prendere il comando del tuo computer e risolvere un problema. Ma questi programmi si intrufolano senza permesso. Possono imitare o essere nascosti con file legittimi, spesso camuffati da documenti o incorporati in un file più grande come un videogioco.

In che modo gli aggressori utilizzano Telegram per controllare il malware

Già nel 2017, gli aggressori utilizzavano Telegram per controllare il software dannoso a distanza. Un esempio notevole di questo è il programma Masad Stealer che ha svuotato i portafogli crittografici delle vittime quell'anno.

Il ricercatore di Check Point Omer Hofman afferma che la società ha rilevato 130 attacchi ToxicEye utilizzando questo metodo da febbraio ad aprile 2021 e ci sono alcune cose che rendono Telegram utile ai malintenzionati che diffondono malware.

Per prima cosa, Telegram non è bloccato dal software firewall. Inoltre, non è bloccato dagli strumenti di gestione della rete. È un'app facile da usare che molte persone riconoscono come legittima e, quindi, abbassano la guardia.

La registrazione a Telegram richiede solo un numero di cellulare, quindi gli aggressori possono rimanere anonimi. Inoltre, consente loro di attaccare i dispositivi dal proprio dispositivo mobile, il che significa che possono lanciare un attacco informatico da qualsiasi luogo. L'anonimato rende estremamente difficile attribuire gli attacchi a qualcuno e fermarli.

La catena delle infezioni

Ecco come funziona la catena delle infezioni ToxicEye:

  • L'aggressore crea prima un account Telegram e poi un "bot" Telegram, che può eseguire azioni da remoto tramite l'app.
  • Il token del bot viene inserito nel codice sorgente dannoso.
  • Quel codice dannoso viene inviato come spam e-mail, che è spesso mascherato da qualcosa di legittimo su cui l'utente potrebbe fare clic.
  • L'allegato viene aperto, viene installato sul computer host e invia le informazioni al centro di comando dell'aggressore tramite il bot di Telegram.
  • Poiché questo RAT viene inviato tramite e-mail di spam, non devi nemmeno essere un utente di Telegram per essere infettato.

    Rimanere al sicuro

    Se pensi di aver scaricato ToxicEye, Check Point consiglia agli utenti di controllare il seguente file sul tuo PC: C: Users ToxicEye rat.exe

    Se lo trovi su un computer di lavoro, cancella il file dal tuo sistema e contatta immediatamente il tuo help desk. Se è su un dispositivo personale, cancella il file ed esegui subito una scansione del software antivirus.

    Al momento della scrittura, alla fine di aprile 2021, questi attacchi sono stati scoperti solo su PC Windows. Se non hai già installato un buon programma antivirus, ora è il momento di scaricarlo.

    Si applicano anche altri consigli collaudati per una buona "igiene digitale", come:

    • Non aprire allegati di posta elettronica che sembrano sospetti e / o provengono da mittenti sconosciuti.
    • Fai attenzione agli allegati che contengono nomi utente. Le e-mail dannose spesso includono il tuo nome utente nella riga dell'oggetto o il nome di un allegato.
    • Se l'email sta cercando di sembrare urgente, minaccioso o autorevole e ti fa pressione per fare clic su un link / allegato o fornire informazioni sensibili, probabilmente è dannoso.
    • Usa un software anti-phishing se puoi.

    Il codice Masad Stealer è stato reso disponibile su Github in seguito agli attacchi del 2017. Check Point afferma che ha portato allo sviluppo di una serie di altri programmi dannosi, tra cui ToxicEye:

    "Da quando Masad è diventato disponibile sui forum di hacking, dozzine di nuovi tipi di malware che utilizzano Telegram per [command and control] e sfruttare le funzionalità di Telegram per attività dannose, sono state trovate come armi "pronte all'uso" nei repository di strumenti di hacking in GitHub. "

    Le aziende che utilizzano il software farebbero bene a considerare di passare a qualcos'altro o di bloccarlo sulle loro reti fino a quando Telegram non implementerà una soluzione per bloccare questo canale di distribuzione.

    Nel frattempo, i singoli utenti dovrebbero tenere gli occhi aperti, essere consapevoli dei rischi e controllare regolarmente i propri sistemi per sradicare le minacce e magari prendere in considerazione il passaggio a Signal.