hacker-telegram

I ricercatori di Juniper Threat Labs,  hanno scoperto un nuovo spyware veicolato attraverso un Trojan che utilizza Telegram per esfiltrare le informazioni trafugate alle vittime. L’uso di Telegram come canale di comando e controllo (CnC) consente al malware un pò di anonimato.

Questo tipo di software malevolo, viene pubblicizzato sui forum del Dark Web con il nome “Masad Clipper and Stealer“, ed è programmato per rubare tutti quei dati che sono memorizzati nel browser, tra cui:

  • numeri della carta di credito;
  • password e credenziali varie;
  • file sul Desktop;
  • wallet di criptovaluta.

Sempre secondo l’analisi fatta da Juniper, i cybercriminali iniettano Masad Stealer nei file d’installazione di alcuni software abbastanza conosciuti, per poi condividerli attraverso forum, siti di download di terze parti o file sharing. Di seguito viene riportato l’elenco dei software che potrebbero essere interessati dall’infezione:

  • ProxySwitcher;
  • CCleaner.exe;
  • Utilman.exe;
  • Netsh.exe;
  • Iobit v 1.7.exe;
  • Base Creator v1.3.1 [FULL CRACK] .exe;
  • EXEA HACK CRACKED (PUBG, CS GO, FORTNITE, GTA 5, DOTA) .exe;
  • Icacls.exe;
  • WSManHTTPConfig.exe;
  • RADMIR CHEAT MONEYY.exe;
  • Tradebot_binance.exe;
  • Whoami.exe;
  • Proxo Bootstrapper.exe;
  • Fortniteaimbot 2019.exe;
  • Galaxy Software Update.exe.

Per chi dovesse effettuare il download dei sopra elencati software dai repository ufficiali, il consiglio è di fare una scansione mediante antivirus aggiornato prima dell’installazione. Magari utilizzando il servizio online Virustotal.

Parte Tecnica

Per chi non ha elevate competenze informatiche si può fermare con la lettura dell’articolo. Il resto è consigliato per gli appassionati dei malware.

Questo malware viene scritto utilizzando gli script Autoit e viene iniettato in un file eseguibile (.exe) di Windows.

Quando viene eseguito, Masad Stealer si inserisce in% APPDATA% \ nome_cartella} \ {nome_file}, dove nome_cartella e nome_file sono definiti nel file bin. Gli esempi sotto raffigurati, includono rispettivamente i path: amd64_usbhub3.inf.resources e ws2_32.exe. Come meccanismo di persistenza, il malware crea un’attività pianificata che si avvia automaticamente ogni minuto.

Tutte le informazioni rubate da Masad stealer, vengono compresse in un archivio attraverso il software 7zip (presente nel file bin del malware).

Per comunicare con il bot di comando e controllo, Masad Stealer invia prima un messaggio getMe utilizzando il token del bot di Telegram (per sincerarsi che sia ancora attivo). Successivamente, alla ricezione della richiesta, il bot risponde con il nome utente. Quest’ultimo è utile per identificare i possibili attaccanti correlati al malware. Infatti a causa della natura standardizzata di Masad Stealer, è altamente probabile che venga utilizzato da più cybercriminali e per scopi diversi.

request-getme

Gli autori del malware hanno anche un sito Web dedicato (masadproject [.] Life) e un canale Telegram con 300 membri per promuovere Masad Stealer e offrire supporto tecnico.

FONTE: Juniper

condividi