ToxicEye è il malware che sfrutta Telegram per rubare dati

ToxicEye è il malware che sfrutta Telegram per rubare dati

Un bot per Telegram è parte integrante della struttura di comando e controllo di un nuovo malware che ha funzioni di RAT con capacità di sottrarre file e criptare dati

di pubblicata il , alle 11:01 nel canale Sicurezza
Telegram
 

Un gruppo hacker non meglio identificato controlla un Trojan con capacità di accesso remoto sfruttando Telegram:. battezzato "ToxicEye", il RAT (Remote Access Tool) utilizza il programma di messaggistica all'interno della sua infrastruttura di comando e controllo per perpetrare una campagna di furto di dati.

Sono i ricercatori di Check Point Research ad aver individuato il problema, illustrandolo pubblicamente in un post sul blog ufficiale della società dove spiegano che negli ultimi tre mesi il RAT è stato avvistato, come si dice in questi casi, "in the wild" e si è reso protagonista di oltre 130 attacchi.

Telegram, che di recente ha conosciuto una certa popolarità come alternativa a Whatsapp, conta attualmente oltre 500 milioni di utenti mensili attivi, e si è dimostrata piuttosto apprezzata anche dai criminali informatici che spesso la utilizzano come punto di partenza per la distribuzione di strumenti dannosi e vettori d'attacco.

In questo caso la catena di attacchi prende il via con la creazione, da parte degli attori alle spalle di ToxicEye, che creano un account Telegram e un bot che è parte integrante dell'infrastruttura di controllo del malware. Il trojan viene diffuso tramite una "tradizionale" campagna di email phishing, e una volta aperto e installato può compiere le sue malefatte. Nel momento in cui il trojan viene installato, il bot creato dagli attaccanti si occupa di connettere il dispositivo bersaglio con il server di comando e controllo, da cui ToxicEye può ricevere istruzioni e comandi.

Il RAT ToxicEye mostra una serie di capacità abbastanza comuni tra i malware moderni: scansione e furto di credenziali, dati del sistema operativo, cronologia del browser, contenuto degli appunti e cookie. Trattandosi di uno strumento di accesso remoto non mancano poi le funzionalità di trasferimento e cancellazione di file e gestione dei processi e attività in corso. Il malware può funzionare anche da keylogger e può compromettere le periferiche audio/video collegate al sistema che possono essere usate per intercettare comunicazioni vocali o registrare filmati. Sono state rilevate anche funzioni ransomware, cioè la possibilità di crittografare dati.

Per verificare se il trojan ToxicEye sia presente sul sistema, l'indicatore di compromissione più significativo è la presenza del file rat.exe al percorso C:\Users\ToxicEye\. Valgono poi le solite raccomandazioni di precauzione e prevenzione: verificare sempre il mittente di una mail e non aprire allegati di dubbia provenienza.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan25 Aprile 2021, 18:55 #1
Andrea Bai andrebbe messo subito a frustate nella pubblica piazza:

Un gruppo hacker non meglio identificato controlla un Trojan con capacità di accesso remoto


La frase corretta che deve necessariamente apparire nei giornali è:

Un gruppo hacker russo controlla un Trojan con capacità di accesso remoto tramite Telegram.
tallines25 Aprile 2021, 19:11 #2
E chi lo usa Telegram, io ce l' ho installato ma...........i contatti sono tutti su Whatsapp
[K]iT[o]25 Aprile 2021, 22:27 #3
Whatsapp snobbato pure da trojans
Marko_00126 Aprile 2021, 08:35 #4
che siano gli stessi che hanno bucato il sito
della centrale atomica bielorussa?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^