All'inizio del 2021, decine di utenti hanno abbandonato WhatsApp in favore di altre app di messaggistica che promettevano una migliore sicurezza dei dati, dopo l'annuncio della società che avrebbe condiviso i metadati degli utenti con Facebook per impostazione predefinita. Molti di questi utenti hanno così deciso di affidarsi ad app concorrenti, come Telegram e Signal.Telegram è stata senza dubbio l'app più scaricata, con oltre 63 milioni di installazioni nel gennaio del 2021.
La società di software Check Point ha recentemente scoperto che alcuni gruppi malintenzionati utilizzano Telegram come canale di comunicazione per un programma malware chiamato ToxicEye. Si scopre che alcune delle funzionalità di Telegram possono essere utilizzate dagli aggressori per comunicare con il proprio malware più facilmente che tramite strumenti basati sul web. Gli hacker possono ora entrare nei computer infetti tramite un comodo chatbot di Telegram.
Cos’è ToxicEye e come funziona?
ToxicEye è un malware di tipo trojan ad accesso remoto (abbreviato in RAT). I RAT possono fornire ad un utente malintenzionato il controllo di una macchina infetta da remoto, il che significa che possono:
Il RAT ToxicEye viene diffuso tramite uno schema di phishing. Ad un destinatario viene inviata un'e-mail con un file EXE incorporato. Se l'utente apre il file, il programma installa il malware sul dispositivo.
I RAT sono simili a quei programmi ad accesso remoto che, ad esempio, gli addetti del supporto tecnico utilizzano per prendere il comando del vostro computer e risolvere un problema. La differenza è che questi programmi si intrufolano senza permesso. Possono imitare file legittimi o essere nascosti, spesso camuffati da documenti o incorporati in un file più grande come un videogioco.
In che modo gli hacker utilizzano Telegram per controllare il malware?
Già nel 2017, gli hacker utilizzavano Telegram per controllare un software dannoso a distanza. Un esempio di ciò è il programma Masad Stealer che ha svuotato i portafogli crittografici delle vittime, quell'anno.
Il ricercatore di Check Point, Omer Hofman, afferma che la società ha rilevato 130 attacchi ToxicEye utilizzando questo metodo da febbraio ad aprile 2021.
Per prima cosa, Telegram non è bloccato da software firewall né da strumenti di gestione della rete. È un'app facile da usare che molte persone riconoscono come legittima e, quindi, abbassano la guardia.
Registrarsi per la prima volta a Telegram richiede solo un numero di cellulare, quindi gli aggressori possono rimanere anonimi. Inoltre, consente loro di attaccare i dispositivi dal proprio dispositivo mobile, il che significa che possono lanciare un attacco informatico da qualsiasi luogo. L'anonimato rende estremamente difficile attribuire gli attacchi a qualcuno e fermarli.
La catena delle infezioni
Ecco come funziona la catena dell'infezione ToxicEye:
Offerte FASTWEBFastwebNeXXt Mobile7,95€al mesefino al 09/0190 GB4 GB in UE e SvizzeraMIN illimitati500 min in UE e SvizzeraScopri la nostra offerta MOBILEsenza vincoli e senza costi nascostiscopri1.L'aggressore crea prima un account Telegram e poi un "bot" di Telegram, che può eseguire azioni da remoto tramite l'app.2.Il token del bot viene inserito nel codice sorgente dannoso.3.Questo codice dannoso viene inviato come spam e-mail, spesso mascherato da qualcosa di legittimo su cui l'utente potrebbe cliccare.4.L'allegato viene aperto, viene installato sul computer host e invia le informazioni al centro di comando dell'attaccante tramite il bot di Telegram.
Poiché questo RAT viene inviato tramite e-mail di spam, non è nemmeno necessario essere un utente di Telegram, per essere infettato.
Come rimanere al sicuro?
Se pensate di aver scaricato ToxicEye, Check Point consiglia di controllare il seguente file sul PC: C: \Users\ToxicEye\rat.exe
Se lo trovate su un computer di lavoro, cancellate il file dal sistema e contattate immediatamente il vostro help desk. Se è su un dispositivo personale, cancellate il file ed eseguite subito una scansione del software antivirus.
Al momento della scrittura, alla fine di aprile 2021, questi attacchi sono stati scoperti solo su PC Windows. Se non avete già installato un buon programma antivirus, ora è il momento di scaricarlo.
Si applicano anche altri consigli collaudati per una buona "igiene digitale", come:
Il codice Masad Stealer è stato reso disponibile su Github in seguito agli attacchi del 2017. Check Point afferma che ha portato allo sviluppo di una serie di altri programmi dannosi, tra cui ToxicEye:
“Da quando Masad è diventato disponibile sui forum di hacking, dozzine di nuovi tipi di malware che utilizzano Telegram per comando e controllo e sfruttano le funzionalità di Telegram per attività dannose, sono stati trovati come armi "pronte all'uso" nei repository di strumenti di hacking in GitHub.”
Le aziende che utilizzano il software farebbero bene a considerare di passare a qualcos'altro o di bloccarlo sulle loro reti fino a quando Telegram non implementerà una soluzione per bloccare questo canale di distribuzione.
Nel frattempo, i singoli utenti dovrebbero tenere gli occhi aperti, essere consapevoli dei rischi e controllare regolarmente i propri sistemi per sradicare le minacce e magari prendere in considerazione il passaggio a Signal.