ToxicEye: il nuovo malware che si controlla attraverso i bot di Telegram

toxiceye nuovo malware controllabile con i bot di telegram

Si definisce come Remote Access Trojan (RAT) il nuovo malware, ToxicEye scoperto recentemente dai ricercatori del gruppo CheckPoint e che sembra appoggiarsi ai bot della nota piattaforma Telegram. Da inizio anno, infatti, sono stati oltre 130 gli attacchi perpetrati tramite questa tecnica e probabilmente saranno destinati a salire data la sua semplicità.

Non c’è da rimanere basiti di fronte alla scelta di Telegram come veicolo per controllare le azioni da eseguire tramite il malware. D’altronde, Telegram è una piattaforma di messaggeria lecita e molto diffusa anche in ambito aziendale. Per di più la presenza di applicazioni per vari ambienti, dai telefoni ai computer desktop la rende estremamente versatile e arricchisce il panorama dei possibili destinatari.

Cos’è un RAT e com’è fatto ToxicEye?

Un RAT è tipo di trojan che può essere consegnato alla vittima sotto svariate modalità (in questo caso attraverso una campagna di spam) apparentemente del tutto innocue. Viene definito Remote Access perché, di fatto, permette il controllo amministrativo del computer da parte dell’attaccante e quindi l’esecuzione di qualsiasi azione. Molto spesso questi trojan incorporano molteplici funzionalità e per ToxicEye fra le altre ci sono:

  • Accesso ai dati personali, come file contenenti password;
  • Cancellazione e trasferimento di documenti;
  • Controllo completo sui processi del computer;
  • Accesso a camera e microfono per il controllo remoto;
  • Funzionalità di ransomware per la cifratura del disco in cambio di un riscatto.
L’attaccante potrà agire dietro le funzionalità di Telegram, controllando il client di ToxicEye nella macchina della vittima.

Per avere tutte queste funzioni un trojan necessita di una backdoor e funziona tramite un triplice meccanismo: un client (installato nella macchina della vittima), il server di Comando e Controllo (in questo caso un bot di Telegram) ed uno scanner. Lo scanner, che fa parte della componente client, va alla ricerca delle eventuali porte aperte nel computer per instaurare il collegamento con il server di Comando e Controllo.

Tuttavia, essendo piuttosto complesso e pericoloso esporre in rete un server di controllo, nel caso di ToxicEye, il malware contiene un payload del bot di Telegram. In questo modo il bot diventa a tutti gli effetti il centro di comando ma viene veicolato dai server di Telegram e risulta del tutto lecito.

La catena dell’attacco

L’attacco ha inizio con la creazione di un account su Telegram: l’attaccante ha bisogno soltanto di un numero di telefono per la registrazione. Il bot creato e reso disponibile sulla piattaforma avrà un payload uguale a quello incorporato nell’eseguibile da installare nelle macchine vittime.

La componente umana, tuttavia, è sempre estremamente importante perché l’installazione del malware avverrà per mano dell’utente finale che ignaro del file ricevuto lo eseguirà. Il trojan, infatti, può essere consegnato tramite una campagna di spam come allegato di un qualsiasi genere (da un documento Word a una fotografia). La qualità della mail (in termini di capacità di riprodurne una autentica) determinerà il successo dell’azione di attacco.

Una volta che il RAT risulta installato nel computer, l’attaccante avrà pieno accesso alla macchina e potrà eseguire un insieme di azioni attraverso il bot di Telegram.

Un esempio delle funzionalità offerte dal nuovo malware ToxicEye tramite un bot di Telegram (Fonte: CheckPoint).

Come difenderci da ToxicEye e identificarlo per tempo

Nel caso in cui fossimo stati infettati dal programma malevolo, saremo in grado di trovare nel nostro computer l’eseguibile rat.exe nella cartella C:\Users\ToxicEye. Se siamo vittime dell’attacco e il computer fosse quello aziendale è necessario contattare al più presto il supporto IT per prendere misure correttive.

Valgono naturalmente le precauzioni che abbiamo spesso indicato nei nostri articoli:

  • Prestiamo la massima attenzione alle mail in arrivo, soprattutto quando non conosciamo il mittente;
  • Prudenza nell’apertura degli allegati, se non siamo sicuri dell’autenticità evitiamo di accedere al contenuto degli allegati o utilizziamo un programma antivirus per analizzarne la bontà;
  • Il linguaggio della mail può essere un campanello di allarme: errori di ortografia, lessico e sintassi non appropriati sono sinonimi di mail di phishing;
  • Manteniamo i nostri sistemi sempre aggiornati e consideriamo di installare un programma antivirus, naturalmente con le definizioni dei virus aggiornate.

In conclusione, ToxicEye si aggiunge alla pletora di software malevoli a disposizione degli attaccanti. In tutto questo, purtroppo, Telegram è passato da piattaforma di messaggistica a strumento di controllo degli attacchi. L’auspicio è di poter essere in grado di trovare sistemi capaci di identificare l’attività degli utenti senza però monitorarli: una sfida per il futuro.