L’avviso dell’FBI che ha evidenziato come l’intelligence di Teheran sfrutterebbe Telegram per condurre le sue campagne.

“Hacker criminali iraniani sfruttano Telegram per diffondere campagne malware“, ha scritto il Federal Bureau of Investigation (FBI) all’interno di una comunicazione urgente di sicurezza. Obiettivo dell’avviso era “condividere informazioni su attività informatiche malevole condotte da attori legati al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS)“.

Secondo quanto emerso, gruppi cyber affiliati al MOIS avrebbero utilizzato la piattaforma di messaggistica come infrastruttura di comando e controllo (C2) per distribuire malware mirato. Gli obiettivi principali, ha aggiunto l’FBI, “includono dissidenti iraniani, giornalisti critici nei confronti del regime e altri gruppi di opposizione a livello globale“.

L’agenzia, inoltre, ha sottolineato che “alla luce dell’attuale clima geopolitico in Medio Oriente e dei conflitti in corso, queste attività rappresentano una minaccia particolarmente rilevante“.

Dettagli tecnici

In tale ottica, l’FBI ha ottenuto e analizzato diversi campioni di malware nel corso di indagini su operazioni informatiche malevole. Sulla base delle comparazioni, si è proceduto a classificare i software dannosi in tre categorie principali:

• malware di mascheramento (fase 1).
• Impianto persistente (fase 2).
• Varianti correlate della fase 2 con funzionalità aggiuntive o uniche.

Secondo gli esperti, il malware di fase 1 si presentava sotto forma di applicazioni comunemente utilizzate, come Pictory, KeePass e Telegram. Questo stratagemma permetteva ai cyber criminali di ingannare gli utenti e favorire l’installazione iniziale. All’interno di queste applicazioni apparentemente legittime erano nascosti i componenti necessari per avviare la fase successiva dell’attacco.

Una volta eseguito il malware mascherato, spesso in seguito all’interazione dell’utente con l’applicazione compromessa, veniva installato un impianto persistente (fase 2). Questo modulo garantiva agli attaccanti un accesso continuo al dispositivo infetto.

In questa fase, gli attori informatici operanti per conto del Ministero dell’Intelligence iraniano (MOIS) configuravano un sistema di comando e controllo (C2) utilizzando un bot di Telegram. Questo meccanismo consentiva una comunicazione bidirezionale tra il dispositivo compromesso e l’infrastruttura remota collegata all’API di Telegram.

Quali sono gli elementi cardine del sistema?

L’FBI ha identificato il malware di mascheramento (masquerading malware) e l’impianto persistente come gli elementi centrali dell’intera campagna malevola. Tuttavia, sui dispositivi compromessi venivano spesso rilevati anche altri strumenti aggiuntivi.

Tra questi, un esempio significativo è rappresentato da un malware contenuto nel file “MicDriver.zip”. Progettato per registrare lo schermo e l’audio durante sessioni attive su Zoom, riesce così ad ampliare le capacità di spionaggio degli attaccanti.

Da parte sua il portavoce di Telegram Remi Vaughn ha affermato: “I moderatori della piattaforma rimuovono regolarmente tutti gli account che risultano essere collegati a malware“.

Per approfondire

• Leggi “Government of Iran Cyber Actors Deploy Telegram C2 to Push Malware to Identified Targets” in PDF.

Vai al sito di Cybersecurity Italia.

L'articolo Malware, l’FBI: “Hacker criminali iraniani usano Telegram per le loro campagne” sembra essere il primo su CyberSecurity Italia.