Telegram Malware

Telegram Malware – L’evoluzione dei malware easy to use

Telegram Malware  – Autori: Pierguido Iezzi, Antonio Montillo

I venditori di malware  durante questa pandemia hanno iniziato ad attirare i clienti semplificandone l’utilizzo.

Telegram Malware: Adesso i criminali hanno soluzioni semplici e pratiche per configurare e controllare a distanza i propri malware attraverso Telegram semplicemente utilizzando uno smartphone.

I venditori di Telegram malware stanno “attirando” i criminali attraverso la semplificazione degli strumenti utilizzabili per compromettere i target con la stessa tecnica che da tempo era stata adotta nel “normale” mercato: semplificazione, usability e portabilità…

Si sta creando una vera e propria sharing economy parallela che ha reciso di netto l’insieme in cui venivano categorizzati i Criminal Hacker di una volta.

Esistono i developer, veri e propri Decider del mercato, i vendor – che per il momento come figure coincidono, ma non è detto che resterà così ancora per molto visto l’incremento di attività del cyber crime – e il cliente finale: il Criminal Hacker in sè e per sè; non più altamente skillato, ma semplicemente ultimo gradino di questa “new dark economy”.

In questo articolo prenderemo in esame alcuni esempi di Telegram malware in vendita al momento; una delle categorie di “merci” più richieste negli ultimi mesi.

Telegram Malware: T-RAT 2.0

“T-RAT 2.0 cloud warrior (HRDP, VNC, Keylogger, Stealer e altri)” con questo titolo, il 27 agosto 2020, veniva messo in vendita alla cifra di 3500 RUB (circa 39 Euro) su un popolare forum in lingua russa questo Telegram malware, utilizzando una pubblicità a dir poco “stravagante”

 

Telegram Malware
La pubblicità: Un RAT aggiornato e completo, in tasca. Ottieni l’accesso e utilizza subito tutte le funzionalità. Controlla da qualsiasi dispositivo, tutto ciò di cui hai bisogno per funzionare sono Internet e T-RAT

 

Telegram Malware
Un’altra réclame: Vantaggi: perché dovresti considerare l’acquisto: comfort e praticità, controllo semplice, funzionalità enormi a un buon prezzo, anonimato e affidabilità, aggiornamenti e miglioramenti, non rilevabile dagli antivirus”

Telegram Malware: il primo download

L’infezione parte, come nella maggior parte di questa tipologia di malware, attraverso il download di un primo file (un downloader) fornito comodamente dal bot su telegram e compilato ad ogni richiesta da parte del criminale, per essere sempre “nuovo” e quindi non rilevabile dagli antivirus.

Questi a sua volta analizza il sistema ospite e va scaricare tutti gli altri componenti necessari generalmente da una sito web che cambia appena individuato, annidandosi nella posizione più comoda per proseguire l’infezione, Il  downloader si occupa anche della parte relativa al deoffuscamento del palyload e del avvio dei vari componenti.

Telegram Malware

Telegram Malware

Telegram Malware

 

 

 

 

 

 

 

File utilizzati dal RAT: l’attuale eseguibile T-RAT, denominato sihost.exe, oltre a diverse DLL necessarie al RAT. Alcune librerie degne di nota sono Telegram.Bot.dll e socks5.dll. Che fa intuire l’utilizzo di componenti legittimi delle api di telegram per comandare il RAT.

 

Le funzionalità di questo Telegram malware sono molteplici e consentono al criminale di effettuare molte operazioni sul pc della vittima controllandolo, di fatto, in tutto e per tutto utilizzando utilizzando comandi basati su testo e pulsanti di comando forniti dal RAT. I comandi sono in inglese, i messaggi di aiuto principalmente russi.

Una sezione del banner pubblicitario mostra i controlli e l’aspetto che hanno sul telefono (vedi immagine). Tutto ciò senza aver bisogno di particolari conoscenze informatiche. L’unica azione è quella di indurre la vittima a scaricare il downloader:

Telegram Malware

Traduzione del primo passaggio: “Cosa ottieni? Un vero e proprio RAT per Telegram. Il nostro prodotto implementa funzionalità interessanti e soprattutto necessarie. Le funzionalità di RAT, stealer, keylogger VNC, HRDP, clipper, server proxy nascosto verranno combinate direttamente in tasca e molto altro ancora. Ti invitiamo a esaminare le nostre funzionalità in modo più dettagliato”.

Le funzionalità hanno dell’incredibile soprattutto se pensiamo che basta un click su l’interfaccia di Telegram per ottenere informazioni tipo:

Telegram Malware
Primo Esempio
Telegram Malware
Un altro esempio di informazioni estrapolate dal RAT

Di seguito una lista delle funzionalità complete (sono 98)!

Comandi

/help
/getscreen
/webcam
/record
/sysinfo
/isadmin
/activewindow
/openwindows
/programs
/processlist
/killprocess [process]
/run [path]
/clipboard
/location
/path
/blocksite [example google.com]
/redirectprogram [first] [second]
/blockprogram [name] [block|unblock]
/CmstpUACBypass
/CleanupUACBypass
/FodHelperUACBypass
/ComputerDefUACBypass
/OffCertChecking
/DisableWindowsDefender
/OffAvNotification
/cmd
/powershell
/settings
/disconnect
/opencd
/closecd
/exploreroff
/exploreron
/hidetaskbar
/showtaskbar
/wallpaper
/collapsewindows
/reboot
/kill
/suicide
cd [directory]
back
ls
drives
action [name]
mkdir [NameFileInFolder]​​​​​​​​
remove [NameFileInFolder],[AnotherDirectory]
rename [NameFileInFolder],[NewName]
/hrdp
/StartProxyServer
/StopProxyServer
/StartVNC
/StopVNC
/CheckVNC
/commands
/control
/stealer
/filemanager
/StealPasswords
/StealWebData
/StealCookies
/GetTelegramSession
/GetSteamFiles
/GetNordData
/GetFilezillaConfig
/GetSkypeSession
/GetDiscordSession
/GetViberSession
/SetQiwi [wallet]​​​​​​​
/SetWMR [wallet]
/SetWMZ [wallet]​​​​​​​​
/SetWME [wallet]
/SetWMX [wallet]
/SetYandexMoney [wallet]
/SetCC [wallet]​​​​​
/SetPayeer [wallet]
/SetRipple [wallet]​​​​​​​​​
/SetDogechain [wallet]
/SetTron [wallet]
/SetBTCG [wallet]​​​​​​​
/SetBTC [wallet]
/wallets​​​​
/SaveConfig​​​​​
/SendConfig​​​​​
/StartScreenLogger​​​​​​
/StartKeyLogger
/SendLog​​​​
/StopKeyLogger​​​​​​
/SendScreenshots​​​​​​​​
/StopScreenLogger​​​​​​​
/ClipperStart
/ClipperStop​​​​
/ClipboardLoggerStart​​​​​​​
/ClipboardLoggerSend​​​​​​​​
/ClipboardLoggerStop
/clipboard​​​​​​
/functions
/exit

T-RAT 2.0: gli IoC

Sample hashes

Sample Filename SHA256
 T-RAT, packed Update Service.exe
sihost.exe
dfa35a3bed8aa7e30e2f3ad0927fa69adecb5b6f4c8a8535b05c28eacbd0dad8
 T-RAT, unpacked from NA 0388c08ae8bf8204ed609a4730a93a70612d99e66f1d700c2edfb95197ab7cc9
 ZIP archive containing %TEMP%/hrtghgesd​​​.zip 9fe677aa81790414db3187bba2e159c5aafda6dc0411fbd5d4786b7e596143f3
 T-RAT downloader Update Service.exe b6093289ff0470053bd7dde771fa3a6cd21dae99fc444bfebcd33eb153813263
T-RAT downloader, unpacked from NA e7604cc2288b27e29f1c0b2aeade1af486daee7b5c17b0478ce336dcdbeee2f1
Raw download 1DJjnw.jpg
%TEMP%/gfdggfd.jpg
27dcb69c1d010da7d1f359523b398e14e0af0dd5bad1a240734a31ffce8b9262
Audio Player conv.exe 96ba1d40eb85f60a20224e199c18126b160fe165e727b7dee268890dc5148c68
RDP Wrap in.exe ac92d4c6397eb4451095949ac485ef4ec38501d7bb6f475419529ae67e297753
VNC Server winserv1.exe c1316ac68d5f3f5ec080d09ffc7c52670a7c42672f0233b9ef50e4b739bd0586
 VNC Server winserv2.exe 912913d897dd2f969fbcbdb54dde82e54f287ade97725380232dce664417c46c
Ultra VNC Hooks DLL vnchooks.dll c8164ccc0cf04df0f111d56d7fb717e6110f8dee77cfc3ef37507f18485af04d

T-RAT 2.0: in conclusione

Questo RAT risulta essere pericoloso in quanto costantemente aggiornato dagli sviluppatori per quanto riguarda il “customer care” attraverso l’aggiunta di manuali d’uso per semplificarne l’utilizzo e nuove build per evitare l’identificazione da parte degli antivirus.

Telegram Malware

Telegram Malware

 

Le due immagini si riferiscono all’aggiornamento del Telegram malware datato 23/12/2020, dove emerge anche una campagna di scontistica relativa all’affiliazione per il periodo di fine anno:

Telegram Malware
“ATTENZIONE, sconti di Capodanno! In onore del nuovo anno, la stagione degli sconti inizia dal 24/12/2020 al 01/03/2021 Affrettati ad acquistare il nostro prodotto con uno sconto del 30%”

HUNTER Stealer, una versione “semplice” di T-Rat

Apparso in vendita per la prima volta il 25/10/2020 ad un prezzo di 550 Rubli (circa 6€) per l’acquisto singolo mentre per l’abbonamento liftime il costo sale a 4000 Rubli (circa 44€). Questo info-stealer risulta avere funzionalità ridotte rispetto a T RAT 2.0; ciò nonostante risulta essere pericoloso in quanto possiede funzionalità specializzate nel furto di credenziali di account di pagamento.

Telegram Malware

Anche questo Telegram malware risulta essere in costante aggiornamento ed avere diversi affiliati:

Telegram Malware
Aggiornamento del 26/12/2020 da parte dei threat actor i merito all’individuazione da parte degli antivirus.

Nella conversazione riportata poco sopra si legge uno spaccato di come operano questi servizi:

“Bene, ora è passato un mese da quando uso Hunter. Avendo esperienza nell’uso di molti altri stealer, posso dire con sicurezza che mi è piaciuto di più Hunter e probabilmente mi concentrerò su di esso. Cosa posso dire di questo stealer? La prima cosa che mi è piaciuta è stata la sua semplicità, non c’è bisogno di preoccuparsi di hosting, configurazione o altro, l’ho comprato e sono andato subito. La seconda cosa che mi ha attratto sono stati gli aggiornamenti molto frequenti, durante il mese di utilizzo, probabilmente 2-3 volte la build è stata esattamente re-scriptata. Bene, l’ultimo e più importante, prezzo <qualità, 700 rubli (al momento della mia recensione) non è solo NULLA per uno strumento così meraviglioso. In generale, se sei nuovo in questo settore e stai cercando un ottimo strumento, Hunter è ciò di cui hai bisogno, soprattutto se hai domande e risponderà alla nostra conferenza, ci sono persone perbene. (Scrivimi personalmente all’ultimo, ti spiegherò tutto, mostrerò, racconterò.) Grazie per l’attenzione, ma sono andato a rinnovare l’abbonamento =)”

Alcuni ioc relativi a questo Telegram malware:

  • Sha 256:8d28a885143b7327ca2db1f5fae20013591538c77941ae4244e67659943b31c1
  • https://www.virustotal.com/gui/ip-address/95.215.206.139/detection
  • Threat actor su telegram: @NoFeX228 @hunterSystem_Bot @hunterLogs_bot
  • lolz[.]guru/threads/1946404/

SHUTTLE – native stealer

Apparso per la prima volta il 5 novembre 2020, tra le sue funzionalità risulta peculiare la specializzazione nel furto di credenziali di account vpn. si tratta di un altro stealer dalle molteplici funzioni.

Nella “scheda tecnica” si legge:

SHUTTLE STEALER – Fast, powerful and crypt friendly, this stealer is native and written in C/C++ that works in any system without any dependencies with maximum speed and efficiency.
All the data is being sent to our super fast servers and then directly to your Telegram Chat anonymously without any delays or data loss.
(Note: Data gets deleted immediately after sending it to your Telegram Chat, nothing is being saved on our servers).
 Gecko (all browsers), chromium(all browsers), Microsoft Edge support and others…

Collected data includes:
⁃ Passwords
⁃ Cookies
⁃ AutoFill and Cards (automatic detection of keys from cards (***))
⁃ Desktop files (r)
⁃ FileZilla client (host, port, login, password)
⁃ Total Commander
⁃ Steam files | games | profiles | last login
⁃ Telegram session
⁃ Discord session
⁃ Wallet (Armory, Zcash, Bytecoin, Atomic, DashCore, BitcoinCore, Electrum, Ethereum, Litecoin, Exodus…)
⁃ NordVPN (login and password)
⁃ OpenVPN conf
⁃ Screenshot
⁃ ProductID (windows key)
⁃ Clipboard content
⁃ System installation date

Monthly payments motivates us to continue the support of this project!

Price for 1 month: 15$

telegram: @karelli

build s = ~500 KB

Anche questo Telegram malware risulta essere aggiornato frequentemente per poter evadere in maniera sempre più efficiente gli antivirus:

Telegram Malware
Aggiornamento del 26/12/2020 da parte dei threat actor i merito all’individuazione da parte degli antivirus.

Alcuni ioc:

  • sha256 30af8d3ec685a4a5669f1377bb74589772a0428d9daa214c179a795dcf4b9030
  • Il report di virustotal

Telegram Malware: in conclusione

In conclusione si tende a precisare che principalmente queste tipologie di malware si diffondono attraverso campagne di phishing e/o dipendono almeno in prima fase dal interazione attiva della vittima. Di conseguenza è fondamentale prestare molta attenzione in generale a tutti i messaggi in arrivo che siano email sms messaggi sui social (messenger whatsapp twitter telegram signal etc..) provengano da fonti trusted.

Start your Free Trial?

Autore: Pierguido Iezzi

AvatarDa anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use.
La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

ON PREMISE

Domain threat
intelligence

ICT Security
Assessment

Phishing
Attack Simulation

Smishing
Attack Simulation