skip to Main Content

Cybercrime, ora i malware possono essere controllati da Telegram

di Pierguido Iezzi

Arriva T-RAT, in vendita a 45 dollari su Dark Web, in grado di controllare i sistemi infetti tramite un canale Telegram

T-RAT è un nuovo tipo di malware (appunto un Remote Access Trojan) del cybercrime ora in vendita a soli 45 dollari sul Dark Web. Il suo principale punto di forza è la capacità di controllare i sistemi infetti tramite un canale Telegram, piuttosto che un tradizionale pannello di controllo e amministrazione a cui si accede da interfaccia web. Il suo autore sostiene che questo permette agli acquirenti di accedere più velocemente e più facilmente ai computer infetti da qualsiasi luogo, permettendo ai Criminal Hacker di attivare funzionalità di furto di dati non appena una vittima viene infettata e soprattutto prima che la presenza del RAT venga scoperta.

Il malware del cybercrime supporta 98 comandi

Per far sì che questo accada, il canale Telegram del T-RAT supporta 98 comandi che, se digitati all’interno della finestra principale della chat, consentono all’acquirente del malware di compiere una serie di azioni malevole. Dal recuperare le password dal browser, così come i cookie; navigare nel file system della vittima e cercare dati sensibili; distribuire un keylogger; registrare l’audio tramite il microfono; scattare screenshot del desktop della vittima, scattare foto tramite webcam e recuperare i contenuti degli appunti. Inoltre, i possessori di T-RAT possono anche implementare un meccanismo di hijacking degli appunti che sostituisce le stringhe che sembrano indirizzi di valuta criptata e di valuta digitale con alternative, consentendo all’aggressore di dirottare le transazioni per soluzioni di pagamento come Qiwi, WMR, WMZ, WME, WMX, WMX, Yandex money, Payeer, CC, BTC, BTCG, Ripple, Dogecoin e Tron.

Il Remote Access Trojan sfrutta il messenger per la facilità d’installazione e l’utilizzo

Per finire – come se non bastassero già queste funzionalità – il T-RAT può anche eseguire comandi da terminale (CMD e PowerShell), bloccare l’accesso ad alcuni siti web (come antivirus e siti di supporto tecnico), “uccidere” i processi (in particolare quelli di sicurezza e software di debug) e persino disabilitare la barra delle applicazioni e il task manager. I sistemi di comando e controllo secondari del malware sono disponibili tramite RDP o VNC, ma la funzione Telegram è quella pubblicizzata dai venditori del cybercrime agli acquirenti, soprattutto per la facilità di installazione e di utilizzo

Telegram diventa un’arma in mano ai Criminal Hacker

Sebbene molti RAT siano spesso “gonfiati” per le capacità che possiedono nei loro annunci pubblicitari sul Dark Web, le funzionalità di T-RAT sono state confermate in un’analisi del ricercatore di cybersecurity di G DATA Karsten Hahn. Il quale ha spiegato che questo è solo l’ultimo di una serie di recenti famiglie di malware che hanno una capacità di controllo per Telegram. L’uso della piattaforma come sistema di comando e controllo (C2) ha fatto tendenza negli ultimi anni e T-RAT non è nemmeno il primo della sua specie ad implementare un tale modello. I precedenti includono RATAttack (caricato e rimosso da GitHub nel 2017, target Windows), HeroRAT (già usato “in the wild”, target Android), TeleRAT (target Android), IRRAT (target Android), RAT-via-Telegram (disponibile su GitHub, target Windows), e Telegram-RAT (disponibile su GitHub, target Windows).

La minaccia alla cybersecurity di T-RAT per ora è relativamente bassa, ma sta crescendo

Fortunatamente, per ora, la minaccia di T-RAT è relativamente bassa. Di solito ci vogliono alcuni mesi prima che i Criminal Hacker imparino a fidarsi di un nuovo ceppo di malware commerciale; Hahn ritiene tuttavia che il RAT si stia già guadagnando un seguito. Ci sono, infatti, regolari upload di nuovi campioni di T-RAT su VirusTotal. Il che fa presumere che sia in distribuzione, anche se non si conosce il canale. Molto probabilmente, però, si tratta di smishing (fusione di sms e phishing), una delle tattiche preferite dai Criminal Hacker specializzati in mobile malware. Del tutto simile al “cugino” che arriva via mail – il caro e vecchio phishing – questa tecnica sta prendendo sempre più campo. Alla vittima viene recapitato un messaggio contenente un link che riporta solitamente a un sito malevolo dove, oltre a raccogliere le credenziali, vengono scaricati i payload del malware.

Quanto sta accadendo conferma che gli smartphone stiano diventando il bersaglio preferito dai cyber criminali. In primis con lo smishing

La crescita di questo fenomeno è sintomo di come quello che fino a non troppo tempo fa fosse ritenuto inattaccabile – lo smartphone – stia diventando il bersaglio preferito dagli aggressori. Come per il phishing, lo smishing fa leva su una combinazione di psicologia umana ed esche efficienti per convincere la vittima a cliccare sul link. Ma fortunatamente, come per il phishing la soluzione è a portata di mano. Ovviamente si tratta di investire su awerness e formazione; per combattere queste minacce bisogna imparare a riconoscerle…

Non abbassiamo la guardia!

Back To Top