Utilizzavano Telegram per rubare i dati degli utenti

Nel novembre 2021 gli analisti di Mandiant hanno alzato il sipario su una nuova minaccia: un malware capace di fingersi innocuo su Telegram per sottrarre informazioni sensibili a governi, eserciti e aziende di telecomunicazioni. Dietro l’attacco c’è UNC3313, un cluster di hacker che gli esperti collegano – con moderata sicurezza – al famigerato gruppo statale iraniano MuddyWater.

Come funziona l’inganno

Tutto parte da e-mail di spear-phishing costruite ad arte con offerte di lavoro irresistibili.
Basta un click sul link e la vittima scarica un archivio RAR ospitato su OneHub: a quel punto entra in scena ScreenConnect, un software di accesso remoto perfettamente legittimo che gli aggressori sfruttano per prendere il controllo del computer entro un’ora dalla compromissione iniziale.

Doppia porta sul retro

1. STARWHALE – una backdoor mai documentata prima, camuffata da semplice script .WSF, capace di eseguire comandi impartiti da un server command-and-control (C2).
2. GRAMDOOR – l’arma più subdola: utilizza l’API di Telegram per comunicare con il C2, nascondendosi nel traffico della popolare app di messaggistica e aggirando i software di sicurezza tradizionali.

Fasi dell’attacco

• Escalation dei privilegi: gli hacker ottengono diritti amministrativi.
• Ricognizione interna: mappano la rete dell’organizzazione bersaglio.
• PowerShell offuscato: scaricano e lanciano payload aggiuntivi evitando di farsi notare.

Il risultato? Sorveglianza continua e furto di dati strategici che possono influenzare decisioni geopolitiche di alto livello.

Un problema globale

Gli attori di MuddyWater non colpiscono a caso: prendono di mira difesa, governi locali, petrolio, gas e telecomunicazioni in tutto il mondo. Le agenzie di sicurezza di Stati Uniti e Regno Unito hanno pubblicato un avviso congiunto per mettere in guardia contro la campagna di spionaggio, ribadendo il legame del gruppo con il Ministero dell’intelligence e della sicurezza iraniano (MOIS).

Perché Telegram?

Usare l’API di un servizio popolare come Telegram offre due vantaggi enormi agli aggressori:

• Mimetizzazione: il traffico verso i server di Telegram è considerato di routine; gli strumenti di sicurezza tendono a non bloccarlo.
• Affidabilità: l’infrastruttura globale di Telegram garantisce disponibilità e velocità, perfette per l’esfiltrazione discreta di file.

Come proteggersi

• Diffida di offerte di lavoro o allegati non richiesti, anche se sembrano provenire da fonti legittime.
• Verifica link e indirizzi prima di cliccare: un servizio come OneHub usato fuori contesto è un campanello d’allarme.
• Aggiorna costantemente antivirus ed EDR; attiva il controllo sul traffico in uscita verso piattaforme di messaggistica.
• Segmenta la rete aziendale e limita i privilegi degli account: riduci al minimo i danni in caso di compromissione.

La lezione è chiara: anche le app che usiamo ogni giorno possono trasformarsi in corsie preferenziali per il cyber-spionaggio. Bastano pochi secondi di disattenzione perché un malware apra la porta ai dati più riservati. Vigilanza, formazione del personale e soluzioni di sicurezza aggiornate sono l’unico scudo contro minacce sempre più sofisticate.

Fonte

Ti potrebbe interessare:

• Ricompensa record per l’hacker che ha bucato la fotocamera del Mac

Segui guruhitech su:

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• X (Twitter): x.com/guruhitech1
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Esprimi il tuo parere!

Utilizzi la piattaforma di messaggistica Telegram? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo [email protected].