ToxicEye, il trojan che sfrutta i bot Telegram per diffondersi e rubare dati dai nostri PC - Cyber Security 360

L'ANALISI TECNICA

ToxicEye, il trojan che sfrutta i bot Telegram per diffondersi e rubare dati dai nostri PC

È stato identificato come ToxicEye il trojan ad accesso remoto che sfrutta i bot Telegram per diffondersi sui PC delle vittime, prenderne il controllo e rubare dati riservati. Ecco tutti i dettagli e i consigli per difendersi da questo nuovo malware “Telegram based”

23 Apr 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Gli operatori di un nuovo Remote Access Trojan (RAT) identificato come ToxicEye stanno sfruttando Telegram per mantenere il controllo del loro malware. In particolare, il trojan sfrutta la piattaforma di messaggistica come parte dell’infrastruttura di comando e controllo (C2) per diffondersi sui computer delle vittime, prendere il controllo dei dispositivi compromessi e rubare dati.

Secondo la Division Threat Intelligence di Check Point Software Technologies, al momento sono già 130 gli attacchi confermati in tutto il mondo portati a termine utilizzando questo nuovo tipo di malware “Telegram based”.

Ulteriore aggravante è rappresentata dal fatto che la famosa app di messaggistica istantanea, con oltre 500 milioni di utenti, potrebbe essere un pericolo anche quando non utilizzata o non installata.

Perché Telegram come mezzo di attacco

È molto probabile che i criminali informatici abbiano preso di mira Telegram, utilizzandolo come parte integrante dei loro attacchi, a causa di una serie di vantaggi operativi e oggettivi segnalati dal team di sicurezza Check Point:

  1. non viene bloccato dalle protezioni antivirus in quanto considerato un servizio legittimo;
  2. consente di mantenere l’anonimato, richiedendo solo un numero di cellulare per la registrazione di un account;
  3. consente agli attaccanti di esfiltrare facilmente i dati dai PC delle vittime o trasferire nuovi file dannosi sulle postazioni infette e di utilizzare i propri dispositivi mobile per accedere ai computer target da qualsiasi parte del mondo.

I ricercatori, inoltre, hanno evidenziato che Telegram, noto come servizio di messaggistica privato e sicuro, è diventato ancora più popolare soprattutto negli ultimi mesi a seguito delle nuove politiche su privacy e gestione dati che WhatsApp adotterà dal prossimo 15 maggio 2021 e che hanno spinto milioni di utenti verso soluzioni di messaggistica alternative. Non a caso, infatti, all’aumento del bacino d’utenza Telegram è corrisposta una crescente ondata di attacchi mirati con dozzine di campioni malware “pronti all’uso”.

I dettagli del RAT ToxicEye

Il malware diffuso dagli attaccanti, nascosto negli allegati e-mail, è un trojan ad accesso remoto (RAT) che fornisce il pieno controllo del sistema colpito comunicando, via Telegram, con un server C2 presidiato dai criminali per sottrarre dati (appunti, audio e video), cancellare file e processi del file system e crittografare i file tramite ransomware.

In particolare, dai campioni del RAT rilevati, gli analisti sono stati in grado di identificare una serie di caratteristiche:

  1. capacità di individuare e rubare password, informazioni sul computer, cronologia del browser e cookie;
  2. capacità di cancellare e trasferire file e prendere il controllo del task manager del PC;
  3. capacità di distribuire keylogger, registrare audio e video attraverso il microfono e la fotocamera del PC;
  4. capacità di criptare e decriptare i file della vittima con funzionalità ransomware.

La catena di infezione del RAT

ToxicEye si diffonde essenzialmente tramite e-mail di phishing contenenti un file allegato .exe dannoso che, se eseguito, installa il RAT sul PC dell’ignara vittima. Ma vediamo nel dettaglio il funzionamento e la catena di infezione.

L’attacco ha inizio con la creazione di un account e un bot Telegram dedicato, che consente agli attori malevoli l’interazione tramite chat, aggiungendo contatti ai gruppi o inviando richieste direttamente all’account bot con query personalizzate.

Successivamente, gli attaccanti assemblando il token bot con il RAT ToxicEye lo diffondono come allegato (ad esempio, sono stati individuati file denominati come paypal checker by saint.exe) tramite campagne malspam.

Una volta che la vittima apre l’allegato infettandosi, ToxicEye si connetterà automaticamente a Telegram esponendosi a un attacco remoto tramite la componente bot integrata nel payload, che attraverso lo stesso servizio di messaggistica si ricollegherà al server di comando e controllo degli aggressori per eseguire una serie di attività dannose con tutte le conseguenze del caso.

ToxicEye: come individuare l’infezione e mitigarne il rischio

Idan Sharabi, R&D Group Manager di Check Point Software Technologies, purtroppo non fornisce al riguardo alcuna raccomandazione rassicurante: “Esortiamo vivamente le organizzazioni e gli utenti di Telegram a essere consapevoli delle e-mail dannose e ad essere più cauti con le e-mail che hanno per oggetto il loro nome utente e le e-mail con un linguaggio poco scorrevole. Dato che Telegram può essere utilizzato per distribuire file dannosi o come canale di comando e controllo per malware controllato da remoto, ci aspettiamo che ulteriori strumenti che sfruttano questa piattaforma continuino a essere sviluppati in futuro”.

Alla luce di quanto detto, i ricercatori hanno fornito anche ulteriori suggerimenti per individuare, nel caso specifico, l’infezione e mitigarne il rischio, controllando, in particolare, l’eventuale presenza di un file chiamato rat.exe nella directory C:/Users/ToxicEye/ e monitorando la presenza di traffico generato dai PC verso account Telegram, soprattutto se la relativa app non è installata sui propri sistemi.

In generale, comunque, gli stessi ricercatori incoraggiano ad accrescere la vigilanza e il controllo delle e-mail.

In questo senso, valgono sempre le buone regole per difendersi dal malspam:

  • non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
  • trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
  • non eseguire mai file eseguibili allegati alle email o abilitare macro all’interno dei documenti allegati senza essere assolutamente certi della provenienza. Nei casi dubbi, contattare prima il mittente per chiedere ulteriori informazioni;
  • eseguire sempre la scansione degli allegati con un buon e aggiornato antivirus.

Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare anche la sicurezza del perimetro cibernetico della stessa infrastruttura.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5