ALLERTA PERICOLI INFORMATICI

ToxicEye : il trojan di accesso remoto sfrutta le comunicazioni di Telegram per sottrarre dati alle vittime e aggiornarsi per eseguire ulteriori attività dannose

ToxicEye : il trojan di accesso remoto sfrutta le comunicazioni di Telegram per sottrarre dati alle vittime e aggiornarsi per eseguire ulteriori attività dannose
Written by gestore

Allerta Pericoli Informatici sui Social :
allerta pericoli informatici su facebookallerta pericoli informatici su linkedinallerta pericoli informatici su twitterallerta pericoli informatici su pinterestallerta pericoli informatici su itunes podcast allerta pericoli informatici su telegramallerta pericoli informatici su google newsallerta pericoli informatici su flickr

APP 1 : Allerta Pericoli Informatici
Google Play
Apple Store
APP 2 : AiutamiSi ( tanti servizi gratuiti )
Google Play
Apple Store

Telegram, la piattaforma di messaggistica istantanea basata su cloud, ha goduto di un’impennata di popolarità quest’anno a causa di controverse modifiche al suo rivale, le impostazioni sulla privacy di WhatsApp.  Telegram è  stata l’ app più scaricata al mondo per gennaio 2021 con oltre 63 milioni di installazioni e ha superato i 500 milioni di utenti attivi mensilmente. Questa popolarità si estende anche alla comunità cyber-criminale. Gli autori di malware utilizzano sempre più Telegram come sistema di comando e controllo (C&C) già pronto per i loro prodotti dannosi, perché offre diversi vantaggi rispetto alla tradizionale amministrazione di malware basata sul web.

In questo blog, esploreremo il motivo per cui i criminali utilizzano sempre più Telegram per il controllo del malware, utilizzando l’esempio di una nuova variante di malware chiamata “ToxicEye” che abbiamo recentemente osservato in natura.

Intermezzo promozionale ... continua la lettura dopo il box:

Perché gli hacker si rivolgono a Telegram per il controllo del malware

Il primo utilizzo di Telegram come infrastruttura C&C per il malware è stato il ladro di informazioni “Masad” nel 2017. I criminali dietro Masad si sono resi conto che l’utilizzo di un popolare servizio di messaggistica istantanea come parte integrante dei loro attacchi dava loro una serie di vantaggi operativi:

  • Telegram è un servizio legittimo, facile da usare e stabile che non è bloccato dai motori antivirus aziendali, né dagli strumenti di gestione della rete
  • Gli aggressori possono rimanere anonimi poiché il processo di registrazione richiede solo un numero di cellulare
  • Le esclusive funzionalità di comunicazione di Telegram consentono agli aggressori di estrarre facilmente i dati dai PC delle vittime o trasferire nuovi file dannosi su macchine infette
  • Telegram consente inoltre agli aggressori di utilizzare i propri dispositivi mobili per accedere ai computer infetti da quasi tutte le località del mondo.

Da quando Masad è diventato disponibile sui forum di hacking, dozzine di nuovi tipi di malware che utilizzano Telegram per C&C e sfruttano le funzionalità di Telegram per attività dannose, sono stati trovati come armi “pronte all’uso” nei repository di strumenti di hacking in GitHub.

ToxicEye, un nuovo trojan di accesso remoto

Negli ultimi tre mesi, Check Point Research (CPR) ha assistito a oltre 130 attacchi utilizzando un nuovo trojan multifunzionale di accesso remoto (RAT) denominato “ToxicEye”. ToxicEye viene diffuso tramite e-mail di phishing contenenti un file .exe dannoso. Se l’utente apre l’allegato, ToxicEye si installa sul PC della vittima ed esegue una serie di exploit all’insaputa della vittima, tra cui:

  • rubare dati
  • eliminare o trasferire file
  • uccidere i processi sul PC
  • dirottamento del microfono e della fotocamera del PC per registrare audio e video
  • crittografia dei file a scopo di riscatto

ToxicEye è gestito dagli aggressori su Telegram, comunicando con il server C&C dell’attaccante e trasferendovi i dati.

Catena di infezioni di ToxicEye

L’attaccante crea prima un account Telegram e un “bot” di Telegram. Un account bot di Telegram è uno speciale account remoto con cui gli utenti possono interagire tramite la chat di Telegram o aggiungendoli ai gruppi di Telegram, oppure inviando richieste direttamente dal campo di input digitando il nome utente Telegram del bot e una query.

Il bot è incorporato nel file di configurazione ToxicEye RAT e compilato in un file eseguibile (un esempio di un nome file che abbiamo trovato era “paypal checker by saint.exe”).
Qualsiasi vittima infettata da questo payload dannoso può essere attaccata tramite il bot di Telegram, che ricollega il dispositivo dell’utente al C&C dell’attaccante tramite Telegram.

Inoltre, questo ratto di telegramma può essere scaricato ed eseguito aprendo un documento dannoso visto nelle e-mail di phishing chiamato solution.doc e premendo su “abilita contenuto”.

Esempio di frammento di codice da repository RAT di telegrammi open source

Funzionalità RAT di Telegram

Ovviamente, ogni RAT che utilizza questo metodo ha le proprie funzionalità, ma siamo stati in grado di identificare una serie di funzionalità chiave che caratterizzano la maggior parte dei recenti attacchi che abbiamo osservato:

  • Funzionalità di furto dei dati: il RAT può individuare e rubare password, informazioni sul computer, cronologia del browser e cookie.
  • Controllo del file system: eliminazione e trasferimento di file o interruzione dei processi del PC e acquisizione del task manager del PC.
  • Hijack di I / O: il RAT può distribuire un keylogger o registrare audio e video dell’ambiente circostante la vittima tramite il microfono e la fotocamera del PC, o dirottare il contenuto degli appunti.
  • Funzionalità ransomware: la capacità di crittografare e decrittografare i file della vittima.

Dopo aver installato il file eseguibile, l’aggressore può dirottare il computer tramite il bot ( sorgente )

Come riconoscere se sei stato infettato e consigli per rimanere protetto

  1. Cerca un file chiamato C: \ Users \ ToxicEye \ rat.exe : se questo file esiste sul tuo PC, sei stato infettato e devi contattare immediatamente il tuo helpdesk e cancellare questo file dal tuo sistema.
  2. Monitora il traffico generato dai PC della tua organizzazione a un C&C di Telegram : se tale traffico viene rilevato e Telegram non è installato come soluzione aziendale, questo è un possibile indicatore di compromissione
  3. Fai attenzione agli allegati contenenti nomi utente : le e-mail dannose spesso utilizzano il tuo nome utente nella riga dell’oggetto o nel nome del file dell’allegato. Indicano messaggi di posta elettronica sospetti: eliminare tali messaggi di posta elettronica e non aprire mai l’allegato né rispondere al mittente.
  4. Destinatari non divulgati o non elencati : se i destinatari dell’email non hanno nomi o i nomi non sono in elenco o non sono divulgati, questa è una buona indicazione che questa email è dannosa e / o di phishing.
  5. Annotare sempre la lingua nell’e – mail  : le tecniche di ingegneria sociale sono progettate per sfruttare la natura umana. Ciò include il fatto che le persone hanno maggiori probabilità di commettere errori quando hanno fretta e sono inclini a seguire gli ordini di persone in posizioni di autorità. Gli attacchi di phishing utilizzano comunemente queste tecniche per convincere i loro bersagli a ignorare i loro potenziali sospetti su un’e-mail e fare clic su un collegamento o aprire un allegato.
  6. Distribuire una soluzione anti-phishing automatizzata : ridurre al minimo il rischio di attacchi di phishing per l’organizzazione richiede un software anti-phishing basato su AI in grado di identificare e bloccare il contenuto di phishing su tutti i servizi di comunicazione dell’organizzazione (e-mail, applicazioni di produttività, ecc.) E piattaforme (postazioni di lavoro dei dipendenti, dispositivi mobili, ecc.). Questa copertura completa è necessaria poiché il contenuto di phishing può arrivare su qualsiasi mezzo e i dipendenti potrebbero essere più vulnerabili agli attacchi quando utilizzano dispositivi mobili. La soluzione di sicurezza della posta elettronica di Check Point ti aiuterà a prevenire i più sofisticati attacchi di phishing e ingegneria sociale, prima che raggiungano gli utenti.

Conclusione

Gli sviluppatori che pubblicano questi strumenti mascherano il loro vero scopo definendoli come “Strumento di amministrazione remota” o “solo a scopo didattico”, sebbene alcune delle loro caratteristiche si trovino spesso in Trojan dannosi.

Dato che Telegram può essere utilizzato per distribuire file dannosi o come canale C&C per malware controllato in remoto, ci aspettiamo che ulteriori strumenti che sfruttano questa piattaforma continuino a essere sviluppati in futuro.

Fonte : https://blog.checkpoint.com/

Rss Feeds:

Pubblica anteprima dei nostri articoli sul tuo sito :

  Inserisci questo codice per mostrare anteprima dei nostri articoli nel tuo sito e proteggi i tuoi navigatori dai rischi informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).