ALLERTA PERICOLI INFORMATICI

ToxicEye : il trojan di accesso remoto sfrutta le comunicazioni di Telegram per sottrarre dati alle vittime e aggiornarsi per eseguire ulteriori attività dannose

ToxicEye : il trojan di accesso remoto sfrutta le comunicazioni di Telegram per sottrarre dati alle vittime e aggiornarsi per eseguire ulteriori attività dannose
Scritto da gestore

Telegram, la piattaforma di messaggistica istantanea basata su cloud, ha goduto di un’impennata di popolarità quest’anno a causa di controverse modifiche al suo rivale, le impostazioni sulla privacy di WhatsApp.  Telegram è  stata l’ app più scaricata al mondo per gennaio 2021 con oltre 63 milioni di installazioni e ha superato i 500 milioni di utenti attivi mensilmente. Questa popolarità si estende anche alla comunità cyber-criminale. Gli autori di malware utilizzano sempre più Telegram come sistema di comando e controllo (C&C) già pronto per i loro prodotti dannosi, perché offre diversi vantaggi rispetto alla tradizionale amministrazione di malware basata sul web.

In questo blog, esploreremo il motivo per cui i criminali utilizzano sempre più Telegram per il controllo del malware, utilizzando l’esempio di una nuova variante di malware chiamata “ToxicEye” che abbiamo recentemente osservato in natura.

Intermezzo promozionale ... continua la lettura dopo il box:

Perché gli hacker si rivolgono a Telegram per il controllo del malware

Il primo utilizzo di Telegram come infrastruttura C&C per il malware è stato il ladro di informazioni “Masad” nel 2017. I criminali dietro Masad si sono resi conto che l’utilizzo di un popolare servizio di messaggistica istantanea come parte integrante dei loro attacchi dava loro una serie di vantaggi operativi:

  • Telegram è un servizio legittimo, facile da usare e stabile che non è bloccato dai motori antivirus aziendali, né dagli strumenti di gestione della rete
  • Gli aggressori possono rimanere anonimi poiché il processo di registrazione richiede solo un numero di cellulare
  • Le esclusive funzionalità di comunicazione di Telegram consentono agli aggressori di estrarre facilmente i dati dai PC delle vittime o trasferire nuovi file dannosi su macchine infette
  • Telegram consente inoltre agli aggressori di utilizzare i propri dispositivi mobili per accedere ai computer infetti da quasi tutte le località del mondo.

Da quando Masad è diventato disponibile sui forum di hacking, dozzine di nuovi tipi di malware che utilizzano Telegram per C&C e sfruttano le funzionalità di Telegram per attività dannose, sono stati trovati come armi “pronte all’uso” nei repository di strumenti di hacking in GitHub.

ToxicEye, un nuovo trojan di accesso remoto

Negli ultimi tre mesi, Check Point Research (CPR) ha assistito a oltre 130 attacchi utilizzando un nuovo trojan multifunzionale di accesso remoto (RAT) denominato “ToxicEye”. ToxicEye viene diffuso tramite e-mail di phishing contenenti un file .exe dannoso. Se l’utente apre l’allegato, ToxicEye si installa sul PC della vittima ed esegue una serie di exploit all’insaputa della vittima, tra cui:

  • rubare dati
  • eliminare o trasferire file
  • uccidere i processi sul PC
  • dirottamento del microfono e della fotocamera del PC per registrare audio e video
  • crittografia dei file a scopo di riscatto

ToxicEye è gestito dagli aggressori su Telegram, comunicando con il server C&C dell’attaccante e trasferendovi i dati.

Catena di infezioni di ToxicEye

Intermezzo promozionale ... continua la lettura dopo il box:

L’attaccante crea prima un account Telegram e un “bot” di Telegram. Un account bot di Telegram è uno speciale account remoto con cui gli utenti possono interagire tramite la chat di Telegram o aggiungendoli ai gruppi di Telegram, oppure inviando richieste direttamente dal campo di input digitando il nome utente Telegram del bot e una query.

Il bot è incorporato nel file di configurazione ToxicEye RAT e compilato in un file eseguibile (un esempio di un nome file che abbiamo trovato era “paypal checker by saint.exe”).
Qualsiasi vittima infettata da questo payload dannoso può essere attaccata tramite il bot di Telegram, che ricollega il dispositivo dell’utente al C&C dell’attaccante tramite Telegram.

Inoltre, questo ratto di telegramma può essere scaricato ed eseguito aprendo un documento dannoso visto nelle e-mail di phishing chiamato solution.doc e premendo su “abilita contenuto”.

Esempio di frammento di codice da repository RAT di telegrammi open source

Funzionalità RAT di Telegram

Ovviamente, ogni RAT che utilizza questo metodo ha le proprie funzionalità, ma siamo stati in grado di identificare una serie di funzionalità chiave che caratterizzano la maggior parte dei recenti attacchi che abbiamo osservato:

  • Funzionalità di furto dei dati: il RAT può individuare e rubare password, informazioni sul computer, cronologia del browser e cookie.
  • Controllo del file system: eliminazione e trasferimento di file o interruzione dei processi del PC e acquisizione del task manager del PC.
  • Hijack di I / O: il RAT può distribuire un keylogger o registrare audio e video dell’ambiente circostante la vittima tramite il microfono e la fotocamera del PC, o dirottare il contenuto degli appunti.
  • Funzionalità ransomware: la capacità di crittografare e decrittografare i file della vittima.

Dopo aver installato il file eseguibile, l’aggressore può dirottare il computer tramite il bot ( sorgente )

Come riconoscere se sei stato infettato e consigli per rimanere protetto

  1. Cerca un file chiamato C: \ Users \ ToxicEye \ rat.exe : se questo file esiste sul tuo PC, sei stato infettato e devi contattare immediatamente il tuo helpdesk e cancellare questo file dal tuo sistema.
  2. Monitora il traffico generato dai PC della tua organizzazione a un C&C di Telegram : se tale traffico viene rilevato e Telegram non è installato come soluzione aziendale, questo è un possibile indicatore di compromissione
  3. Fai attenzione agli allegati contenenti nomi utente : le e-mail dannose spesso utilizzano il tuo nome utente nella riga dell’oggetto o nel nome del file dell’allegato. Indicano messaggi di posta elettronica sospetti: eliminare tali messaggi di posta elettronica e non aprire mai l’allegato né rispondere al mittente.
  4. Destinatari non divulgati o non elencati : se i destinatari dell’email non hanno nomi o i nomi non sono in elenco o non sono divulgati, questa è una buona indicazione che questa email è dannosa e / o di phishing.
  5. Annotare sempre la lingua nell’e – mail  : le tecniche di ingegneria sociale sono progettate per sfruttare la natura umana. Ciò include il fatto che le persone hanno maggiori probabilità di commettere errori quando hanno fretta e sono inclini a seguire gli ordini di persone in posizioni di autorità. Gli attacchi di phishing utilizzano comunemente queste tecniche per convincere i loro bersagli a ignorare i loro potenziali sospetti su un’e-mail e fare clic su un collegamento o aprire un allegato.
  6. Distribuire una soluzione anti-phishing automatizzata : ridurre al minimo il rischio di attacchi di phishing per l’organizzazione richiede un software anti-phishing basato su AI in grado di identificare e bloccare il contenuto di phishing su tutti i servizi di comunicazione dell’organizzazione (e-mail, applicazioni di produttività, ecc.) E piattaforme (postazioni di lavoro dei dipendenti, dispositivi mobili, ecc.). Questa copertura completa è necessaria poiché il contenuto di phishing può arrivare su qualsiasi mezzo e i dipendenti potrebbero essere più vulnerabili agli attacchi quando utilizzano dispositivi mobili. La soluzione di sicurezza della posta elettronica di Check Point ti aiuterà a prevenire i più sofisticati attacchi di phishing e ingegneria sociale, prima che raggiungano gli utenti.

Conclusione

Gli sviluppatori che pubblicano questi strumenti mascherano il loro vero scopo definendoli come “Strumento di amministrazione remota” o “solo a scopo didattico”, sebbene alcune delle loro caratteristiche si trovino spesso in Trojan dannosi.

Dato che Telegram può essere utilizzato per distribuire file dannosi o come canale C&C per malware controllato in remoto, ci aspettiamo che ulteriori strumenti che sfruttano questa piattaforma continuino a essere sviluppati in futuro.

Fonte : https://blog.checkpoint.com/