Col passare del tempo, non manca di esibire guizzi di creatività l’attività criminale degli hacker informatici che, di recente, si sono cimentati in due nuove campagne d’aggressione, sfruttando persino Telegram o la necessità di scaricare un ben noto programma per computer.
Il primo allarme di questo middle-week arriva dall’israeliana Check Point Research che, dopo averne constatato 130 attacchi negli ultimi 3 mesi, ha lanciato l’allarme in merito al RAT (Remote Access Tool) “ToxicEye“: nello specifico, si tratta di un malware che, diffusosi via allegato di posta elettronica, una volta installato sul computer della vittima procede a scansionare il PC rubando dati personali come le password, trasferendo e cancellando file (che, in altri casi, venivano criptati alla maniera dei ransomware), prendendo possesso dei processi del PC (es. per killarli), usando microfono e webcam per registrare video o audio ambientali. Il tutto, individuate delle porte aperte, veniva poi trasferito, via bot Telegram (app scelta per via dei suoi oltre 500 milioni di utenti attivi al mese), registrati con un normale numero di telefono, al server di comando e controllo degli hacker.
Per fronteggiare la campagna hacker in questione, la cui unica evidenza tangibile consta nella presenza del’eseguibile rat.exe nel percorso C:UsersToxicEye, l’azienda di sicurezza di cui sopra consiglia di fare attenzione alle mail sospette, es. quando non elencano i destinatari, o quando citano l’utente nel nome dell’allegato o nell’oggetto. Anche il testo della missiva può essere indice di qualcosa di sospetto: in tal caso, è bene non aprire e anzi cancellare la mail, avendo cura di analizzare di tanto in tanto il traffico in uscita dal proprio PC per appurare se punti verso Telegram, non installato “come soluzione aziendale“.
Non meno articolato è l’attacco contro cui mette in guardia il ricercatore di sicurezza Olivier Hough. Quest’ultimo ha scoperto siti del tutto simili all’originale (con tanto di disclaimer per il copyright e la privacy, di certificato di sicurezza https) che proponevano il download delle librerie Microsoft per il gaming, le DirectX12 (ma il tutto può ripetersi per qualsivoglia software popolare), ai quali l’utente veniva portato dopo che, via link con siti manipolati, ne era stato alterato il ranking Google, di modo che le ricerche degli utenti puntassero a detti siti fake.
Una volta installato il finto software DirectX12, questi procedeva a leggere e trasmettere i cookies, i dettagli del PC, ad eseguire screenshot del desktop, e a cercare le credenziali d’accesso di eventuali portafogli di criptovalute installati, tra cui Waves.Exchange, edger Live, Electrum, Coinomi, Jaxx, Exodus, Electron Cash, BTCP Electrum, Monero, MultiBit HD, e Aomtic. Stante la natura subdola dell’attacco in questione, gli esperti consigliano il download dei programmi dallo store del sistema operativo o dal sito web ufficiale, non prendendo per oro colato il primo risultato d’una ricerca online.