Tutto ciò che bisogna sapere sul malware su Telegram Desktop che controlla il PC tramite un bot

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

I malware dediti al mining di criptovalute stanno – ahinoi – diventando sempre più frequenti sia su Android che su Windows: la relativa facilità attraverso la quale sembra essere possibile nascondere un codice d’esecuzione all’interno di banner pubblicitari, programmi, semplici file ha spinto centinaia di hacker a nasconderne di nuovi su siti web, su YouTube, persino all’interno di portali governativi. Ma questa volta a sollevare la polvere e scatenare una piccola tempesta sui social è stato un malware su Telegram Desktop, scoperto dal laboratorio di ricerca russo Kaspersky Lab e appunto capace di servirsi della CPU delle proprie vittime per il mining di criptovalute.

Siete pronti per scoprire come gli hacker russi possono controllare il vostro PC attraverso un bot Telegram?

Che cos'è

Nonostante Kaspersky indichi il malware su Telegram Desktop appena scoperto quale prova di una vulnerabilità Zero-Day di Telegram, per la verità non si tratta di nulla di tanto drammatico: una simile vulnerabilità viene segnalata solamente nel momento in cui viene scoperta una falla nel software, accessibile dall’esterno senza difficoltà e capace di concedere ad hacker esterni la possibilità di prendere possesso del device in uso dalla vittima in qualsiasi momento.

Non è il caso del malware su Telegram Desktop che andiamo ad analizzare che, piuttosto, così come segnalato dagli amministratori del canale Telegram Geeks (vincitori del concorso Migliori Canali Telegram nell’edizione 2017, e ripresi da Pavel Durov nel suo canale personale) sembra costituire un elaborato esempio di ingegneria sociale. Una pratica estremamente diffusa ad ogni livello della comunità degli hacker che consiste nell’elaborazione di strategie volte a spingere la vittima a fornire da sé le credenziali d’accesso a profili social e conti bancari; schermate di phishing, messaggi ingannevoli e, appunto, trucchi come quelli attuati dagli sviluppatori russi nel caso di questo malware su Telegram Desktop hanno sempre rappresentato una delle più veloci e semplici tattiche, decisamente più remunerative di una difficoltosa caccia a bug e minuscole aperture nel codice di sviluppo del software preso di mira.

Le criptovalute sono comunque un grave pericolo per gli smartphone Android, e potete leggere QUI per quale motivo non dovreste scaricare qualsiasi app per la gestione di criptovalute.

Come attacca i PC degli utenti

La strategia d’attacco attuata dal malware su Telegram Desktop è piuttosto semplice: nonostante non sia mai stato visto al di fuori del laboratorio di Kaspersky Lab su parola degli stessi analisti, è possibile che il virus abbia seminato il terrore in Russia dove ne è stata segnalata la presenza.

Il malware si serviva della struttura di visualizzazione dei testi RTL, in uso presso le popolazioni arabe, ebraiche, persiane e laddove l’alfabeto sia disposto in un ordine di lettura da destra a sinistra; nel caso di questo malware l’utilizzo è naturalmente improprio poiché se ne serve per nascondere la propria natura maligna.

Il virus si presenta solitamente nella forma di un file (presunto) immagine con estensione sj.png; naturalmente, applicando il ragionamento sopra descritto, sarà facile capire che il file in questione non è veramente una fotografia ma un file d’installazione di un programma il cui nome termina per l’appunto in “gnp“, e la cui reale estensione (“js“), che ne sta ad indicare la matrice Javascript, viene occultata dall’impiego in una sola sezione del file della modalità, che lo trasforma così in un più innocuo Javascript capovolgendo l’ordine di lettura.

Perché però il malware su Telegram Desktop possa scatenarsi, occorre che l’utente dia il proprio consenso alla sua installazione o esecuzione, permesso che viene richiesto su Windows attraverso qualsiasi schermata di segnalazione e che l’utente potrà facilmente intuire essere il preludio a qualcosa di sbagliato, o che quantomeno non dovrebbe accadere nel caso di interazione con quello che dovrebbe essere un semplice file d’immagine.

Qualora la disattenzione o l’ingenuità lo spingano a concedere il permesso, il virus comincerà a propagarsi per il PC appoggiandosi ad un proprio bot Telegram – d’altronde, parte del suo codice è composto dalle Telegram API – per comunicare con i suoi sviluppatori attraverso una catena prestabilita di comandi.

Tra le varie conseguenze all’installazione del malware su Telegram Desktop c’è la creazione di un sistema di mining di criptovalute tramite la CPU del PC della vittima, ovviamente inconsapevole; il virus infatti controlla ogni due secondi la presenza di nuovi comandi che gli impartiscano di scaricare, salvare o avviare l’esecuzione di determinati file, che portano naturalmente all’esecuzione di catene di comandi più complessi che un semplice bot Telegram non è autorizzato a compiere.

Come difendersi

Il malware su Telegram Desktop è ben lungi dall’essere una vulnerabilità Zero-Day, che avrebbe potuto altrimenti compromettere l’intero sistema desktop dell’app di chat. Al contrario, il pericolo sembra essere lontano, anche se naturalmente le insidie si nascondono dietro ogni angolo, anche su Android: innanzitutto, per via dell’estrema regionalità del virus.

Questa strategia è stata infatti utilizzata solamente da hacker russi i quali sembrano essere i soli ad essersene serviti, così come russi sono i comandi che il bot affiliato al malware era in grado di ricevere ed eseguire; non è dato sapere da quanto questa vulnerabilità fosse presente, ma Kaspersky riporta di averne segnalato la presenza a Telegram sin dal marzo 2017, e che ad oggi risulta già risolta.

Vi suggeriamo comunque come buona abitudine di evitare di eseguire o installare qualsiasi software non abbiate scaricato consapevolmente da una fonte affidabile.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//