Redazione RHC : 7 Luglio 2024 09:18
Gli analisti Doctor Web hanno identificato la versione Linux del noto trojan TgRat, utilizzato per attacchi mirati. Una delle caratteristiche degne di nota di questo malware è che è controllato da un bot di Telegram.
TgRat, originariamente scritto per Windows, è stato scoperto nel 2022. Si trattava di un piccolo programma dannoso creato per dispositivi specifici da cui gli aggressori pianificavano di rubare informazioni riservate.
Poi i ricercatori hanno affermato che TgRat utilizza Telegram come server di controllo. Il server era un gruppo chiuso nel messenger e la comunicazione veniva effettuata utilizzando l’API di Telegram (libreria github.com/wrwrabbit/telegram-bot-api-go).
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Come riferisce ora Doctor Web, durante un’indagine sull’incidente è stata scoperta una versione di TgRat adattata per Linux, su richiesta di un’anonima società che fornisce servizi di hosting. L’antivirus dell’azienda ha rilevato un file sospetto sul server di uno dei client e questo file si è rivelato essere un trojan dropper che decomprimeva TgRat ( Linux.BackDoor.TgRat.2 ) nel sistema di destinazione.
La nuova versione del malware è stata creata anche per attaccare macchine specifiche: quando viene lanciato, controlla l’hash del nome della macchina con una stringa incorporata nel corpo del trojan. Se i valori non corrispondono, TgRat termina il suo processo. Se lanciato con successo, il trojan si connette alla rete e implementa uno schema di interazione con il suo server di controllo, che è un bot di Telegram.
Il trojan viene controllato tramite un gruppo chiuso nel messenger a cui è collegato il bot di Telegram. Utilizzando Messenger, gli aggressori possono impartire comandi al malware: ad esempio scaricare file da un sistema compromesso, acquisire uno screenshot, eseguire un comando in remoto o scaricare un file utilizzando gli allegati.
A differenza della versione Windows, il codice di questo trojan è stato crittografato tramite RSA e per l’esecuzione dei comandi è stato utilizzato l’interprete bash, il che ha reso possibile l’esecuzione di interi script all’interno di un unico messaggio.
Ogni istanza del Trojan ha il proprio identificatore, quindi gli aggressori potrebbero inviare comandi a diversi bot collegandoli tutti a un’unica chat.
I ricercatori sottolineano che un simile attacco può essere rilevato mediante un’attenta analisi del traffico di rete. Dopotutto, lo scambio di dati con i server Telegram è tipico per i computer degli utenti, ma non per i server sulla rete locale.
RedazioneNel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
