
ToxicEye, avete già sentito parlare di questo nuovo trojan?
Si tratta di un malware che sfrutta i bot del social Telegram per propagarsi tra le sue vittime.
Oltre 130 attacchi registrati secondo Ansa.
Ebbene sì, in questi giorni si sta consumando una vera a propria carneficina cyber all’interno di uno dei social network più in voga del momento: Telegram.
Anche noi desideriamo spendere una parola sull’argomento social network e sicurezza informatica e lo faremo analizzando passo dopo passo i fatti: ecco che cosa sta accadendo tramite i bot di Telegram.
Indice articolo
Negli ultimi giorni si è largamente diffusa la notizia di un malware su Telegram in circolazione.
La notizia che in questo articolo approfondiremo insieme parla proprio del malware (o meglio trojan) che prende il nome di ToxicEye e che in pochi mesi ha già attaccato oltre 130 vittime.
La notizia ufficiale arriva da un team SOC americano che ha potuto analizzare la minaccia da vicino fornendo tutte le informazioni necessarie su come difendersi e come riconoscere il malware prima che infetti il dispositivo.
Ma partiamo da una premessa fondamentale, ToxicEye è un trojan ad accesso remoto (per i tecnici dell’informatica: un RAT o Remote Access Tool). Il trojan in questione è considerato estremamente pericoloso perché capace di prendere il pieno controllo del sistema della vittima e farlo comunicare con le tecnologie in possesso dell’hacker. In alcuni casi, ToxicEye RAT ha dimostrato di possedere le medesime funzionalità di un ransomware per la cifratura del disco in cambio di un riscatto, ma di questo ne parleremo in un altro articolo.
ToxicEye è da considerarsi tra i primissimi malware Telegram based grazie al vettore che utilizza.
L’obiettivo è sempre lo stesso: rubare dati da rivendere o utilizzare per scopi illeciti sulle piattaforme deep.
Per capire meglio di che cosa parliamo, sappiate che i RAT (nel settore cybersecurity) sono software malevoli che includono un sistema di comunicazione remota con l’hacker. In altre parole, un RAT software una volta che è stato introdotto all’interno di un sistema informatico (dallo stesso utente vittima) è in grado di aprire un canale di comando tale per cui l’hacker riesce ad avere il pieno controllo del dispositivo sul quale è presente.
Capite bene perché si tratta di una minaccia letale?
I RAT si sono diffusi ampiamente nell’ultimo anno e mezzo chiaramente in funzione all’aumentare dello smartworking e dell’utilizzo dei programmi di connessione da remoto. Grazie a questo nuovo malware via Telegram, ToxicEye, molti utenti hanno compreso quanto possano essere letali.
Che cosa può fare un RAT come ToxicEye
Se sul vostro dispositivo (smartphone, tablet, pc o server) dovesse esserci un RAT, le azioni che un hacker può intraprendere sono:
- Formattare il dispositivo;
- Eliminare, manomettere file;
- Scaricare programmi e app;
- Attivare webcam e sistemi di registrazione (audio e video);
- Monitoraggio di password, credenziali e ogni informazione che viene digitata sulla tastiera (funzione di keylogger);
- Fare screenshot;
- Accesso a informazioni via messaggio.
In tutto questo che cosa c’entra l’applicazione Telegram?
Pare proprio che ToxicEye, il malware, sfrutti l’applicazione Telegram come parte integrante dell’infrastruttura di diffusione.
in particolare gli hacker stanno sfruttando la funzione di bot Telegram per distribuire file infetti o come canale di comando e controllo per il malware controllato da remoto.
L’attacco si suddivide in due fasi fondamentali:
- Un primo attacco viene inviato agli utenti tramite e-mail di phishing. All’interno del messaggio è contenuto un allegato (al momento pare che l’allegato infetto abbia estensione .exe). Il file in allegato è in realtà il trojan ToxicEye (ovvero il programma RAT) che come prima azione cercherà di installarsi sul pc della vittima restando silente in attesa della seconda fase;
- La seconda fase dell’attacco, finalmente, intacca proprio Telegram. L’hacker crea in completa autonomia un account Telegram e usufruisce del servizio bot Telegram. Il criminale crea gruppi o contatta direttamente le vittime (i numeri di telefono vengono reperiti online): alle vittime viene inviata un comando (un link) che si attiva non appena la vittima ci cliccherà su. Avete capito bene: il social network viene utilizzato per diffondere file o comandi infetti.
Ecco che finalmente l’hacker può unire le due fasi dell’attacco e dare vita all’azione letale del virus. Il programma installato sul computer e il messaggio di Telegram (o token bot) danno inizio all’attacco informatico.
Il software ToxicEye che si trova sul computer della vittima si connetterà automaticamente a Telegram e qui inizia un attacco remoto tramite la componente bot Telegram. Da questo momento in poi, l’hacker ha il pieno controllo delle attività.

Abbiamo potuto constatare che la pericolosità del Trojan via Telegram è dettata dalla presenza di due diverse condizioni. Alla luce di quanto detto i fronti a cui prestare attenzione sono due:
- protezione e attenzione alle e-mail che arrivano;
- profondo senso critico nei confronti di Telegram e di tutti gli altri social network.
Con questo non vogliamo generare panico: fino ad ora poco più che 100 utenti sono stati attaccati da questa metodologia, ma i social sono diventati possibili piattaforme attraverso le quali gli hacker agiscono.
Per tutte le aziende che oggi utilizzano Telegram o che possiedono un account social istituzionale, il messaggio che deve passare è: fate attenzione.
Non tutto ciò che arriva sulle chat di Telegram è materiale attendibile.
Raccomandiamo caldamente i nostri utenti che negli ultimi giorni hanno ricevuto strani messaggi nelle chat di Telegram di controllare se sul loro pc personale è presente un file nominato rat.exe che potrebbe trovarsi nella directory C:/Users/ToxicEye/.
Inoltre, il genere di infezioni che riguarda la presenza di un RAT sul computer genera picchi di traffico dal dispositivo verso il social network interessato, in questo caso Telegram.
Per restare alla larga dalle infezione di ToxicEye e di tutti i programmi RAT di recente diffusione raccomandiamo sempre di mantenere monitorate:
- il materiale che arriva tramite posta electronica (attenzione alle truffe via e-mail);
- la presenza di allegati misteriosi nelle email;
- non scaricare mai sul computer allegati con formati .rar .exe o simili se provengono da mittenti di dubbia provenienza;
Nella fattispecie del malware inviato via Telegram raccomandiamo ancora una volta ai nostri lettori la massima attenzione. Infatti, sappiamo con certezza, alla luce di quanto accaduto, che Telegram oggi può essere utilizzato per distribuire file dannosi o come canale di controllo per malware che rientrano nella categoria di ToxicEye (alias RAT).
Se volete difendervi da questi attacchi informatici via Telegram, il nostro consiglio è quello di fare attenzione a ciò che scaricate dal social.

Onorato Informatica
Sicurezza informatica per aziende da oltre 10 anni
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica. Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.