FBI: Hacker iraniani usano Telegram per attacchi malware

Recenti avvisi dell'FBI hanno rivelato che attori informatici legati al governo iraniano stanno sfruttando la piattaforma di messaggistica Telegram per condurre attacchi malware mirati a dissidenti, gruppi di opposizione e giornalisti critici nei confronti del regime. Questo approccio rappresenta una nuova frontiera nelle operazioni di cyber-spionaggio, sfruttando la fiducia riposta in applicazioni di messaggistica criptate per mascherare attività malevole.

Meccanismo degli attacchi

Il processo di attacco si articola in due fasi principali:

1. Infiltrazione iniziale: Gli hacker contattano le vittime fingendosi contatti conosciuti o supporto tecnico, inducendole a scaricare file dannosi travestiti da applicazioni legittime come Telegram o WhatsApp.
2. Controllo remoto: Una volta installato il malware, il dispositivo compromesso si connette a bot di Telegram che permettono agli aggressori di controllare a distanza il computer della vittima, consentendo il furto di file, la cattura di screenshot e la registrazione di chiamate Zoom.

Implicazioni geopolitiche

Secondo l'FBI, questi attacchi sono attribuibili al Ministero dell'Intelligence e della Sicurezza (MOIS) iraniano e rappresentano un tentativo di promuovere l'agenda geopolitica del regime. L'utilizzo di Telegram come canale di comando e controllo (C2) è una strategia per nascondere l'attività malevola tra il traffico di rete legittimo, rendendo più difficile l'identificazione da parte dei difensori informatici e dei prodotti anti-malware.

Il ruolo del gruppo Handala

Il gruppo di hacktivisti pro-iraniani e pro-palestinesi, noto come Handala, è stato menzionato nell'avviso dell'FBI. Sebbene non sia chiaro se gli attacchi specifici siano stati condotti da questo gruppo, Handala ha precedentemente rivendicato attacchi significativi, tra cui uno contro la compagnia medica Stryker, che ha comportato l'eliminazione di decine di migliaia di dispositivi dei dipendenti.

Raccomandazioni per la sicurezza

Per proteggersi da tali attacchi, gli utenti sono invitati a:

• Verificare attentamente l'autenticità dei contatti che inviano link o file, soprattutto se provengono da fonti non verificate.
• Non scaricare o aprire file da fonti sconosciute o sospette.
• Utilizzare software di sicurezza aggiornati e mantenere il sistema operativo e le applicazioni sempre aggiornati.
• Abilitare l'autenticazione a due fattori (2FA) per le applicazioni di messaggistica e altre piattaforme sensibili.

Rimanere informati sulle ultime minacce informatiche e adottare misure preventive è fondamentale per proteggere i dati personali e professionali in un contesto digitale sempre più complesso.