telegram bot - trojan

ToxicEye, avete già sentito parlare di questo nuovo trojan?

Si tratta di un malware che sfrutta i bot del social Telegram per propagarsi tra le sue vittime.

Oltre 130 attacchi registrati secondo Ansa.

Ebbene sì, in questi giorni si sta consumando una vera a propria carneficina cyber all’interno di uno dei social network più in voga del momento: Telegram.
Anche noi desideriamo spendere una parola sull’argomento social network e sicurezza informatica e lo faremo analizzando passo dopo passo i fatti: ecco che cosa sta accadendo tramite i bot di Telegram.

Indice articolo

ToxicEye, di che cosa si tratta

Negli ultimi giorni si è largamente diffusa la notizia di un malware su Telegram in circolazione.
La notizia che in questo articolo approfondiremo insieme parla proprio del malware (o meglio trojan) che prende il nome di ToxicEye e che in pochi mesi ha già attaccato oltre 130 vittime.

La notizia ufficiale arriva da un team SOC americano che ha potuto analizzare la minaccia da vicino fornendo tutte le informazioni necessarie su come difendersi e come riconoscere il malware prima che infetti il dispositivo.

Ma partiamo da una premessa fondamentale, ToxicEye è un trojan ad accesso remoto (per i tecnici dell’informatica: un RAT o Remote Access Tool). Il trojan in questione è considerato estremamente pericoloso perché capace di prendere il pieno controllo del sistema della vittima e farlo comunicare con le tecnologie in possesso dell’hacker. In alcuni casi, ToxicEye RAT ha dimostrato di possedere le medesime funzionalità di un ransomware per la cifratura del disco in cambio di un riscatto, ma di questo ne parleremo in un altro articolo.

ToxicEye è da considerarsi tra i primissimi malware Telegram based grazie al vettore che utilizza.

L’obiettivo è sempre lo stesso: rubare dati da rivendere o utilizzare per scopi illeciti sulle piattaforme deep.

Che cos’è un RAT

Per capire meglio di che cosa parliamo, sappiate che i RAT (nel settore cybersecurity) sono software malevoli che includono un sistema di comunicazione remota con l’hacker. In altre parole, un RAT software una volta che è stato introdotto all’interno di un sistema informatico (dallo stesso utente vittima) è in grado di aprire un canale di comando tale per cui l’hacker riesce ad avere il pieno controllo del dispositivo sul quale è presente.

Capite bene perché si tratta di una minaccia letale?

I RAT si sono diffusi ampiamente nell’ultimo anno e mezzo chiaramente in funzione all’aumentare dello smartworking e dell’utilizzo dei programmi di connessione da remoto. Grazie a questo nuovo malware via Telegram, ToxicEye, molti utenti hanno compreso quanto possano essere letali.

Che cosa può fare un RAT come ToxicEye

Se sul vostro dispositivo (smartphone, tablet, pc o server) dovesse esserci un RAT, le azioni che un hacker può intraprendere sono:

  • Formattare il dispositivo;
  • Eliminare, manomettere file;
  • Scaricare programmi e app;
  • Attivare webcam e sistemi di registrazione (audio e video);
  • Monitoraggio di password, credenziali e ogni informazione che viene digitata sulla tastiera (funzione di keylogger);
  • Fare screenshot;
  • Accesso a informazioni via messaggio.

Telegram bot: la scintilla di attivazione del Trojan

In tutto questo che cosa c’entra l’applicazione Telegram?

Pare proprio che ToxicEye, il malware, sfrutti l’applicazione Telegram come parte integrante dell’infrastruttura di diffusione.
in particolare gli hacker stanno sfruttando la funzione di bot Telegram per distribuire file infetti o come canale di comando e controllo per il malware controllato da remoto.

L’attacco si suddivide in due fasi fondamentali:

  • Un primo attacco viene inviato agli utenti tramite e-mail di phishing. All’interno del messaggio è contenuto un allegato (al momento pare che l’allegato infetto abbia estensione .exe). Il file in allegato è in realtà il trojan ToxicEye (ovvero il programma RAT) che come prima azione cercherà di installarsi sul pc della vittima restando silente in attesa della seconda fase;
  • La seconda fase dell’attacco, finalmente, intacca proprio Telegram. L’hacker crea in completa autonomia un account Telegram e usufruisce del servizio bot Telegram. Il criminale crea gruppi o contatta direttamente le vittime (i numeri di telefono vengono reperiti online): alle vittime viene inviata un comando (un link) che si attiva non appena la vittima ci cliccherà su. Avete capito bene: il social network viene utilizzato per diffondere file o comandi infetti.

Ecco che finalmente l’hacker può unire le due fasi dell’attacco e dare vita all’azione letale del virus. Il programma installato sul computer e il messaggio di Telegram (o token bot) danno inizio all’attacco informatico.

Il software ToxicEye che si trova sul computer della vittima si connetterà automaticamente a Telegram e qui inizia un attacco remoto tramite la componente bot Telegram. Da questo momento in poi, l’hacker ha il pieno controllo delle attività.

trojan malware

Come accorgersi della presenza del malware ToxicEye

Abbiamo potuto constatare che la pericolosità del Trojan via Telegram è dettata dalla presenza di due diverse condizioni. Alla luce di quanto detto i fronti a cui prestare attenzione sono due:

  • protezione e attenzione alle e-mail che arrivano;
  • profondo senso critico nei confronti di Telegram e di tutti gli altri social network.

Con questo non vogliamo generare panico: fino ad ora poco più che 100 utenti sono stati attaccati da questa metodologia, ma i social sono diventati possibili piattaforme attraverso le quali gli hacker agiscono.

Per tutte le aziende che oggi utilizzano Telegram o che possiedono un account social istituzionale, il messaggio che deve passare è: fate attenzione.

Non tutto ciò che arriva sulle chat di Telegram è materiale attendibile.

Raccomandiamo caldamente i nostri utenti che negli ultimi giorni hanno ricevuto strani messaggi nelle chat di Telegram di controllare se sul loro pc personale è presente un file nominato rat.exe che potrebbe trovarsi nella directory C:/Users/ToxicEye/.
Inoltre, il genere di infezioni che riguarda la presenza di un RAT sul computer genera picchi di traffico dal dispositivo verso il social network interessato, in questo caso Telegram.

Difendersi dai RAT via Telegram

Per restare alla larga dalle infezione di ToxicEye e di tutti i programmi RAT di recente diffusione raccomandiamo sempre di mantenere monitorate:

Nella fattispecie del malware inviato via Telegram raccomandiamo ancora una volta ai nostri lettori la massima attenzione. Infatti, sappiamo con certezza, alla luce di quanto accaduto, che Telegram oggi può essere utilizzato per distribuire file dannosi o come canale di controllo per malware che rientrano nella categoria di ToxicEye (alias RAT).

Se volete difendervi da questi attacchi informatici via Telegram, il nostro consiglio è quello di fare attenzione a ciò che scaricate dal social.

telegram toxiceye malware

Onorato Informatica

Sicurezza informatica per aziende da oltre 10 anni

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica. Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.