Falso portale di Telegram Premium diffonde pericoloso malware

La cybersecurity è una sfida quotidiana, in cui la prudenza non è mai troppa.

L’ultimo allarme riguarda una minaccia insidiosa che si diffonde tramite Telegram, sfruttando un sito fraudolento che imita il portale ufficiale di Telegram Premium. Questa nuova offensiva mette in luce quanto sia sottile il confine tra sicurezza e vulnerabilità nel mondo digitale, soprattutto quando si ha a che fare con un malware sofisticato capace di eludere le più comuni difese.

L’attacco si basa su un meccanismo tanto semplice quanto pericoloso: visitando il sito contraffatto, l’utente si ritrova a scaricare automaticamente un file eseguibile chiamato “start.exe”, senza che sia necessaria alcuna interazione. Questo malware, sviluppato in C/C++, utilizza un avanzato sistema di cryptor che ne aumenta l’entropia e ne rende ardua la rilevazione da parte di buona parte degli antivirus sul mercato. Il codice malevolo è stato progettato per sfuggire alle analisi convenzionali, innalzando il livello di rischio sia per utenti privati che per aziende.

Un malware che prende di mira wallet di criptovalute (e non solo)

Il vettore di infezione si identifica come un classico attacco drive by download: l’installazione avviene in modo silenzioso e il malware si attiva in background, pronto a carpire dati sensibili. Tra gli obiettivi principali figurano le credenziali memorizzate nei browser, i dati relativi ai wallet di criptovalute e informazioni dettagliate sul sistema. Una volta raccolti, questi dati vengono inviati a server remoti, spesso attraverso domini generati algoritmicamente, rendendo estremamente complessa la loro individuazione e il blocco da parte dei sistemi di sicurezza.

Gli esperti di Cyfirma hanno identificato il responsabile di questa nuova ondata di attacchi: si tratta del temibile Lumma Stealer. Questo software malevolo si distingue per la capacità di stabilire connessioni non solo con servizi legittimi come Telegram e Steam, ma anche con domini oscuri, mantenendo così un flusso costante di informazioni rubate. Una delle tecniche più insidiose utilizzate dal Lumma Stealer è l’impiego di Google DNS per le interrogazioni, una strategia che permette di aggirare le restrizioni imposte dai firewall aziendali e di mantenere attivi i canali di comunicazione anche in ambienti protetti.

L’analisi tecnica ha evidenziato come il malware sfrutti in profondità le API di Windows per manipolare file, modificare il registro di sistema e occultarsi agli strumenti di sicurezza. Non solo: vengono depositati numerosi file nella cartella temporanea del sistema, alcuni dei quali vengono rinominati ed eseguiti come script offuscati per cancellare ogni traccia dell’infezione. Questo modus operandi rende particolarmente difficile individuare e rimuovere la minaccia una volta che il sistema è stato compromesso.

Come contrastare Lumma Stealer

Per contrastare efficacemente il Lumma Stealer e minacce simili, gli specialisti consigliano di adottare soluzioni di endpoint detection avanzate, in grado di individuare i comportamenti anomali tipici di questo malware.

È fondamentale bloccare in modo proattivo i domini malevoli, rafforzare i controlli sui download e implementare l’autenticazione a più fattori. La modifica regolare delle password e il monitoraggio costante delle attività sospette sono altrettanto cruciali per ridurre il rischio di compromissione.