Check Point Research ha segnalato la crescita dell’uso da parte degli hacker di Telegram per controllare da remoto del malware.
L’avviso arriva dopo che la division threat intelligence Check Point Research ha rintracciato oltre 130 attacchi informatici che hanno utilizzato malware gestiti su Telegram negli ultimi tre mesi.
Gli aggressori hanno continuato a diffondere il malware nascondendolo negli allegati e-mail, con conseguente controllo del file system, perdite di dati e installazioni di ransomware dei destinatari.
L’app di messaggistica istantanea con oltre 500 milioni di utenti attivi può rappresentare un pericolo anche quando non utilizzata, o anche se non installata.
Check Point Telegram distribuzione malware
I destinatari del malware vengono sottoposti a un controllo del file system (file e processi possono essere cancellati/eliminati); fughe di dati (appunti, audio e video); criptografia dei file (installazione di ransomware).
L’avvertimento di CPR arriva dopo aver rintracciato oltre 130 attacchi informatici negli ultimi tre mesi che hanno usato il trojan ad accesso remoto (RAT) “ToxicEye”.
Un RAT è un tipo di malware che fornisce il pieno controllo remoto del sistema, e ToxicEye comunicava con il server dell’hacker per sottrarre dati ad esso.
ToxicEye si diffonde tramite e-mail phishing contenenti un file .exe dannoso. Dopo l’apertura di un allegato, ToxicEye si installa sul PC della vittima, eseguendo una serie di exploit senza che la vittima lo venga a sapere.
Telegram centro di distribuzione malware. Questi i pericoli
Ogni RAT che utilizza questo metodo ha le proprie funzionalità, ma CPR è stato in grado di identificare una serie di capacità chiave che caratterizzano la maggior parte dei recenti attacchi osservati:
- Furto dati: il RAT può individuare e rubare password, informazioni sul computer, cronologia del browser e cookie.
- File system control: cancellando e trasferendo i file, o eliminando i processi del PC e prendendo il controllo del task manager del PC.
- Hijacking input/output: il RAT può distribuire un keylogger, o registrare audio e video in cui si trova la vittima attraverso microfono e fotocamera del PC, o appropriarsi degli appunti.
- Ransomware: il RAT ha caratteristiche e capacità di criptare e decriptare i file della vittima.
Perché l’app piace agli hacker
L’ultima ricerca di CPR svela un trend crescente per il malware Telegram-based: dozzine di nuovi tipi di malware trovati come armi “pronte all’uso” nei repository di strumenti di hacking su GitHub.
I criminali informatici vedono Telegram come parte integrante dei loro attacchi a causa di una serie di vantaggi operativi:
- Non è controllato: Telegram è un servizio legittimo, facile da usare e stabile che non è bloccato dai motori antivirus aziendali, né dagli strumenti di gestione della rete.
- Mantiene l’anonimato: gli aggressori possono rimanere anonimi poiché il processo di registrazione richiede solo un numero di cellulare.
- Consente una facile estrapolazione: le caratteristiche di Telegram consentono agli aggressori di estrarre facilmente i dati dai PC delle vittime o trasferire nuovi file dannosi su dispositivi infetti.
- È utilizzabile ovunque: consente agli aggressori di utilizzare i propri dispositivi mobile per accedere ai computer infetti da quasi tutte le località del mondo.
Check Point Telegram distribuzione malware
- L’hacker crea prima un account Telegram e un bot dedicato, con cui è possibile interagire personalmente o nei gruppi. Il token del bot èfornito insieme al malware. Il malware è diffuso tramite campagne spam come allegato e-mail. Un esempio di un nome di file trovato da CPR è stato “paypal checker by saint.exe”.
- La vittima apre l’allegato malevolo che si connette a Telegram. Qualsiasi vittima infettata con questo payload può essere attaccata tramite il bot, che connette il dispositivo dell’utente al C&C dell’aggressore tramite Telegram.
L’hacker ottiene così il pieno controllo sulla vittima e può eseguire una serie di attività dannose.
Telegram centro di distribuzione malware. Come evitare l’attacco
- Cercare un file chiamato C: \ Users \ ToxicEye \ rat.exe. Se esiste sul PC, sei stato infettato e devi contattare immediatamente il tuo helpdesk e cancellare il file dal sistema.
- Monitorare il traffico generato dai PC della tua organizzazione verso un C&C di Telegram: se tale traffico viene rilevato e Telegram non è installato come soluzione aziendale, questo è un possibile indicatore di compromissione.
- Attenzione agli allegati contenenti username: le e-mail dannose spesso utilizzano il nome utente nella riga dell’oggetto o nel nome del file in allegato. Questo indica messaggi di posta elettronica sospetti. Bisogna, in questo caso, eliminare tali messaggi elettronica e non aprire mai l’allegato, né rispondere al mittente.
- Controlla i destinatari: se i destinatari dell’e-mail non hanno nomi, non sono nell’elenco o non rivelati, questa è un’indicazione che l’e-mail è dannosa e/o di phishing.
- Controllare com’è scritta una e-mail: le tecniche di social engineering sono progettate per sfruttare la natura umana. Le persone hanno maggiori probabilità di commettere errori quando hanno fretta e sono inclini a seguire gli ordini di persone con una maggiore autorità. Gli attacchi di phishing utilizzano comunemente queste tecniche per convincere i loro bersagli a ignorare i loro potenziali sospetti su un’e-mail e fare clic su un link o aprire un allegato.
- Attivare una soluzione anti-phishing automatizzata.