L'applicazione di messaggistica Telegram ha assistito ad un flusso migratorio di utenti che hanno abbandonato una delle più grandi piattaforme di messaggistica -Whatsapp- dopo i recenti controversi cambiamenti. E dove sono presenti molti utenti, possiamo metterci la mano sul fuoco, si presentano anche gli hacker. Telegram è uno degli ultimi esempi di questa realtà, dato che gli hacker lo stanno utilizzando per diffondere un Trojan ad accesso remoto chiamato ToxicEye: un malware che consente a un account di Telegram di un attaccante di controllare il dispositivo della vittima. 

Secondo i ricercatori di Check Point Software Technologies, Toxiceye è in grado sia di installare ransomware, che di rubare i dati della vittima. "Nel corso degli ultimi tre mesi", spiegano i ricercatori, "Check Point Research ha assistito ad oltre 130 attacchi che utilizzano il nuovo Trojan ad accesso remoto soprannominato Toxiceye. ' Toxiceye viene diffuso tramite e-mail di phishing contenenti un file .exe dannoso.  Se l'utente apre l'allegato, Toxiceye si installa ed esegue una serie di exploit senza che la vittima se ne accorga." 

Il trojan Toxiceye è in realtà gestito da Telegram. Funziona così: i cybercriminali prima creano un account o “Bot” Telegram. Un bot è uno speciale account remoto con cui gli utenti possono interagire tramite chat, aggiungendolo ai gruppi Telegram, o inviando richieste direttamente dal campo di immissione, digitando il nome utente del bot Telegram e una query." 

Tra le capacità che questo Trojan possiede, troviamo: 

• Individuare e rubare le password, le informazioni del computer, la cronologia del browser e i cookie. 

• Ha anche caratteristiche ransomware che consentono di criptare e decriptare i file della vittima 

• Il Trojan può prendere il controllo del file system, riuscendo così ad eliminare e trasferire i file e interrompere i processi sostituendo il task manager di un PC. 

• Inoltre, questo Trojan può anche distribuire un keylogger, o compromettere il computer della vittima per registrare audio e video. 

I consigli che possono seguire le persone per proteggersi da questi attacchi sono quelli legati al buon senso: non cliccare su collegamenti sospetti e non aprire file inviati da sconosciuti.  

Tuttavia, la criticità risiede proprio nell’app di messaggistica: "Telegram è stata l'applicazione più scaricata in tutto il mondo nel gennaio 2021, con più di 63 milioni di installazioni ed ha superato i 500 milioni di utenti attivi mensili," afferma Check Point. "Questa popolarità si estende anche alla comunità cyber-criminale. Gli autori di malware utilizzano sempre più Telegram come sistema di comando e controllo (C&C) per i loro scopi dannosi, perché offre diversi vantaggi rispetto ai metodi tradizionali" 

Ciò che rende Telegram un obiettivo perfetto per trojan ad accesso remoto secondo i ricercatori Checkpoint, è che Telegram è un obiettivo facile. Non viene bloccato dai programmi antivirus predefiniti, richiede solo un numero di telefono (permettendo ai criminali di utilizzare account contraffatti e rimanere anonimi), ed è facilmente accessibile a livello globale. 

Checkpoint afferma che l'aumento degli attacchi Trojan ad accesso remoto su Telegram è iniziato nel 2017. Concludendo con una previsione tutt’altro che rosea: un esponenziale peggioramento della situazione.  

Tweet