FatalRAT: un altro Trojan che sfrutta Telegram

I canali di Telegram sono diventati un punto di riferimento per gli attori delle minacce. Ultimamente, un nuovo Trojan di accesso remoto (RAT) è entrato nel panorama, propagandosi tramite i canali di Telegram.

Di cosa si tratta?

Soprannominato FatalRAT, il trojan viene diffuso tramite articoli sui media o link per il download di software su Telegram. Questi messaggi possono essere inviati solo dagli amministratori dei canali. Il RAT è in grado di ottenere persistenza, eludere il rilevamento, raccogliere informazioni sul sistema ed estrarre dati.

Perchè è importante

  • Il RAT può stabilire la persistenza creando un nuovo servizio o modificando il registro esistente.
  • Ruba dati riservati attraverso un canale C2 crittografato. Le informazioni includono indirizzi IP esterni, nomi utente e altre informazioni.
  • Il malware può eliminare le informazioni dell’utente da browser Web specifici: Firefox, Chrome, Edge, QQBrowser, 360Secure Browser e SogouBrowser.

Perché Telegram?

Oltre a FatalRAT, Telegram è stato recentemente sfruttato da XCSSET e dal malware Toxic Eye. Il motivo principale per cui i criminali informatici sfruttano Telegram si riduce al fatto che è una app legittima e stabile che non è bloccata da strumenti di gestione della rete o software antivirus. Oltre a ciò, consente agli attori delle minacce di rimanere anonimi poiché tutto ciò che serve per la registrazione è un numero di telefono. 

La linea di fondo

Questo nuovo FatalRAT mette in mostra varie funzionalità dannose – offuscamento, evasione antivirus, evasione anti-sandbox e comunicazioni crittografate – che lo rendono una minaccia significativa. Gli esperti ipotizzano che questo trojan e i suoi vari campioni si propagheranno ulteriormente nel prossimo futuro. Quindi, segui l’igiene della sicurezza informatica e rimani al sicuro.