Gli specialisti della sicurezza informatica riferiscono che un gruppo di hacker sta abusando delle funzioni sull’app di messaggistica di Telegram per incorporare codice dannoso all’interno di un Trojan di accesso remoto (RAT) identificato come ToxicEye. Secondo il rapporto, i dispositivi infetti da ToxicEye possono essere controllati tramite account Telegram gestiti da hacker.
Gli esperti affermano che questo Trojan può assumere il controllo dei file system, installare malware di crittografia ed estrarre informazioni sensibili dai computer delle vittime. Gli esperti di Check Point affermano di aver monitorato almeno 130 tentativi di attacco correlati a ToxicEye negli ultimi 3 mesi; questi attacchi hanno utilizzato la piattaforma di messaggistica per comunicare con il proprio server C&C ed estrarre dati sensibili.
Idan Sharabi, un membro del team di Check Point incaricato di questa indagine, ritiene che gli autori delle minacce abbiano scelto Telegram per questa campagna dannosa a causa della crescente popolarità della piattaforma, che ha già circa 500 milioni di utenti attivi in tutto il mondo: “Crediamo che gli hacker stiano approfittando del fatto che Telegram sia impiegato in modo pressoché diffuso, rendendo più facile aggirare le principali restrizioni di sicurezza”.
Sull’aumento della popolarità di Telegram, gli esperti sottolineano che ciò è dovuto principalmente a controversi cambiamenti nelle politiche di WhatsApp, che hanno generato grande preoccupazione tra i milioni di utenti di questo servizio, che hanno cercato di trovare su Telegram una piattaforma rispettosa della loro privacy. Anche la pandemia di coronavirus potrebbe aver contribuito all’aumento dell’utilizzo di Telegram.
Da quando hanno implementato queste modifiche, gli esperti affermano di aver trovato dozzine di campioni di malware per gli utenti di Telegram pronti a compromettere milioni di dispositivi mobili.
Sul Trojan, gli esperti sottolineano che un attacco inizia quando gli hacker creano account sulla piattaforma, così come un bot che consente di interagire automaticamente con altri utenti. Successivamente gli attori della minaccia raggruppano il token del bot con il Trojan o qualsiasi altra variante di malware di loro scelta, diffondendo l’infezione tramite campagne di spam ed e-mail di phishing.
Una volta che l’utente di destinazione apre l’allegato dannoso, il suo dispositivo si connette a Telegram ed è completamente esposto ad attacchi remoti utilizzando il bot degli hacker. Se questo scenario viene completato con successo, gli hacker possono eseguire tutti i tipi di attacchi successivi. Questo è un rischio attivo, anche se fortunatamente la sua identificazione è molto facile. Secondo gli esperti, è sufficiente identificare un file denominato rat.exe nella posizione C: \ Users \ ToxicEye \ rat [.] Exe per determinare se il sistema è stato infettato.