Si definisce come Remote Access Trojan (RAT) il nuovo malware, ToxicEye scoperto recentemente dai ricercatori del gruppo CheckPoint e che sembra appoggiarsi ai bot della nota piattaforma Telegram. Da inizio anno, infatti, sono stati oltre 130 gli attacchi perpetrati tramite questa tecnica e probabilmente saranno destinati a salire data la sua semplicità.
Non c’è da rimanere basiti di fronte alla scelta di Telegram come veicolo per controllare le azioni da eseguire tramite il malware. D’altronde, Telegram è una piattaforma di messaggeria lecita e molto diffusa anche in ambito aziendale. Per di più la presenza di applicazioni per vari ambienti, dai telefoni ai computer desktop la rende estremamente versatile e arricchisce il panorama dei possibili destinatari.
Un RAT è tipo di trojan che può essere consegnato alla vittima sotto svariate modalità (in questo caso attraverso una campagna di spam) apparentemente del tutto innocue. Viene definito Remote Access perché, di fatto, permette il controllo amministrativo del computer da parte dell’attaccante e quindi l’esecuzione di qualsiasi azione. Molto spesso questi trojan incorporano molteplici funzionalità e per ToxicEye fra le altre ci sono:
Per avere tutte queste funzioni un trojan necessita di una backdoor e funziona tramite un triplice meccanismo: un client (installato nella macchina della vittima), il server di Comando e Controllo (in questo caso un bot di Telegram) ed uno scanner. Lo scanner, che fa parte della componente client, va alla ricerca delle eventuali porte aperte nel computer per instaurare il collegamento con il server di Comando e Controllo.
Tuttavia, essendo piuttosto complesso e pericoloso esporre in rete un server di controllo, nel caso di ToxicEye, il malware contiene un payload del bot di Telegram. In questo modo il bot diventa a tutti gli effetti il centro di comando ma viene veicolato dai server di Telegram e risulta del tutto lecito.
L’attacco ha inizio con la creazione di un account su Telegram: l’attaccante ha bisogno soltanto di un numero di telefono per la registrazione. Il bot creato e reso disponibile sulla piattaforma avrà un payload uguale a quello incorporato nell’eseguibile da installare nelle macchine vittime.
La componente umana, tuttavia, è sempre estremamente importante perché l’installazione del malware avverrà per mano dell’utente finale che ignaro del file ricevuto lo eseguirà. Il trojan, infatti, può essere consegnato tramite una campagna di spam come allegato di un qualsiasi genere (da un documento Word a una fotografia). La qualità della mail (in termini di capacità di riprodurne una autentica) determinerà il successo dell’azione di attacco.
Una volta che il RAT risulta installato nel computer, l’attaccante avrà pieno accesso alla macchina e potrà eseguire un insieme di azioni attraverso il bot di Telegram.
Nel caso in cui fossimo stati infettati dal programma malevolo, saremo in grado di trovare nel nostro computer l’eseguibile rat.exe nella cartella C:\Users\ToxicEye. Se siamo vittime dell’attacco e il computer fosse quello aziendale è necessario contattare al più presto il supporto IT per prendere misure correttive.
Valgono naturalmente le precauzioni che abbiamo spesso indicato nei nostri articoli:
In conclusione, ToxicEye si aggiunge alla pletora di software malevoli a disposizione degli attaccanti. In tutto questo, purtroppo, Telegram è passato da piattaforma di messaggistica a strumento di controllo degli attacchi. L’auspicio è di poter essere in grado di trovare sistemi capaci di identificare l’attività degli utenti senza però monitorarli: una sfida per il futuro.