Che cos'è il Modulo Go maligno che ruba credenziali SSH?

È un malware scritto in Golang progettato per individuare e sottrarre chiavi e credenziali SSH dai sistemi infetti, inviandole a un bot Telegram controllato dagli attaccanti.

Perché i criminali usano Telegram come canale di comando e controllo (C2)?

Telegram consente creazione rapida di bot, traffico cifrato, anonimato relativo e maggiore resilienza ai blocchi rispetto a server C2 dedicati, rendendo più difficile l'analisi e l'interruzione della comunicazione.

Perché il malware è scritto in Go (Golang)?

Go offre portabilità multipiattaforma, eseguibili veloci e compatti e binari più complessi da analizzare rispetto ad altri linguaggi, caratteristiche appetibili per gli attaccanti.

Come avviene l'infezione del Modulo Go maligno?

Tipicamente tramite phishing con allegati/script malevoli, download da repository non affidabili, exploit di servizi esposti o credenziali deboli su server accessibili via SSH.

Quali sono gli indicatori di compromissione (IoC) da monitorare?

Processi sconosciuti compilati in Go, connessioni verso API di Telegram, accessi SSH anomali nei log, creazione di nuovi utenti o modifiche non autorizzate ai file di configurazione SSH.

Come proteggere le credenziali SSH da questo malware?

Usa chiavi SSH protette da passphrase robuste, limita l'accesso con AllowUsers/AllowGroups, disabilita l'autenticazione via password, attiva 2FA dove possibile, applica patch e monitora costantemente i log e il traffico di rete.

Bloccare Telegram a livello di rete basta a fermare l'esfiltrazione?

Il blocco può ridurre il rischio ma non è risolutivo: il malware potrebbe usare domini, proxy o canali alternativi. Serve una strategia difensiva multilivello (EDR, hardening SSH, controlli dei processi e delle connessioni in uscita).

Cosa fare se sospetto un'infezione?

Isola subito il sistema dalla rete, revoca e rigenera tutte le chiavi SSH, verifica gli accessi recenti, esegui una scansione con EDR/antivirus, controlla i servizi in esecuzione e ripristina da backup affidabili se necessario.

Negli ultimi anni gli attacchi informatici hanno fatto un salto di qualità, non solo in termini di complessità, ma anche per l’uso creativo di strumenti comuni. L’ultima minaccia che sta preoccupando ricercatori e sysadmin si chiama Modulo Go maligno, un nuovo malware scritto in Golang che ruba credenziali SSH e le invia direttamente a un bot Telegram controllato dagli hacker.

Un mix pericoloso: la potenza del linguaggio Go, molto usato nel cybercrime per la sua efficienza multipiattaforma, unita alla facilità d’uso dei bot Telegram, sempre più sfruttati dai criminali per nascondere attività malevole dietro un’app di messaggistica legittima.

Modulo Go Maligno: Ruba Credenziali SSH tramite Bot Telegram

Come funziona il Modulo Go maligno

Il malware si presenta come un modulo aggiuntivo che può essere incorporato in campagne più ampie di attacco. Una volta eseguito sulla macchina vittima, ecco cosa fa:

Scansione del sistema – raccoglie informazioni di base sul dispositivo infetto (hostname, utente, sistema operativo).
Individuazione delle chiavi SSH – cerca file contenenti credenziali e chiavi SSH salvate localmente.
Raccolta delle password – prova a recuperare dati da file di configurazione o agenti SSH attivi.
Esfiltrazione su Telegram – le informazioni rubate vengono inviate a un bot Telegram controllato dagli attaccanti, che ricevono tutto in tempo reale direttamente sull’app.

Il vantaggio per i criminali è evidente: Telegram è cifrato, immediato e difficile da bloccare, quindi perfetto per il furto e la gestione di dati sensibili.

Perché Telegram?

Non è la prima volta che Telegram viene usato come infrastruttura di comando e controllo (C2). A differenza dei server tradizionali, Telegram è:

Facile da configurare: creare un bot richiede pochi minuti.
Anonimo: i criminali possono gestire tutto senza lasciare tracce evidenti.
Resistente ai blocchi: essendo una piattaforma diffusa e legittima, è difficile bloccarne il traffico senza impattare gli utenti reali.
Cifrato: i dati transitano su un canale protetto, rendendo difficile l’analisi da parte dei ricercatori.

Per questo motivo, sempre più malware negli ultimi anni ha scelto Telegram come canale preferito di comunicazione.

Obiettivo principale: le credenziali SSH

Il cuore di questo malware è il furto delle credenziali SSH, che permettono l’accesso remoto a server e dispositivi di rete. Se un hacker riesce ad ottenere queste chiavi:

Può accedere senza password ai server compromessi.
Ha la possibilità di muoversi lateralmente nella rete.
Può installare altri malware o backdoor.
Può lanciare attacchi più ampi (es. botnet, cryptomining).

In altre parole, rubare una chiave SSH equivale a rubare le chiavi di casa di un intero sistema informatico.

Perché è scritto in Go?

Il linguaggio Go (Golang) è sempre più apprezzato dai criminali informatici per vari motivi:

Portabilità: lo stesso codice può essere compilato e funzionare su Windows, Linux e macOS.
Velocità di esecuzione: Go è molto performante e leggero.
Difficoltà di analisi: i binari in Go sono spesso più complessi da analizzare per i ricercatori di sicurezza rispetto a quelli scritti in linguaggi più tradizionali.

Questa combinazione rende il Modulo Go maligno particolarmente insidioso.

Come avviene l’infezione

Al momento, le modalità principali con cui il malware viene diffuso sembrano essere:

Email di phishing con allegati malevoli.
Script compromessi scaricati da repository non sicuri.
Accessi già vulnerabili su server con password deboli o non aggiornati.

Una volta eseguito, il modulo si installa e comincia subito a cercare chiavi SSH da sottrarre.

Indicatori di compromissione (IoC)

Per capire se un sistema è stato colpito, alcuni segnali da monitorare sono:

Presenza di processi sconosciuti scritti in Go.
Connessioni sospette verso API Telegram.
File di log contenenti richieste anomale di accesso SSH.
Creazione improvvisa di nuovi account o modifiche non autorizzate agli utenti.

Come difendersi dal Modulo Go maligno

La difesa passa da una serie di buone pratiche di sicurezza:

Proteggi le chiavi SSH: non lasciare file di chiavi private in chiaro sul sistema. Usa password forti e crittografia.
Autenticazione a due fattori: aggiungi un secondo livello di sicurezza (es. OTP o chiavi hardware).
Aggiorna sempre: applica le patch di sicurezza a sistema operativo e software.
Limita i permessi: non concedere accessi root inutili e controlla regolarmente chi può connettersi via SSH.
Monitoraggio della rete: imposta alert per traffico sospetto verso domini o API di Telegram.
Antivirus e EDR: usa strumenti avanzati di rilevamento che possano bloccare comportamenti anomali.

L’impatto per aziende e privati

Per le aziende, un attacco del genere può avere conseguenze devastanti: furto di dati sensibili, blocco dei sistemi, richiesta di riscatto.
Per i privati, invece, il rischio è soprattutto legato a chi usa server personali o VPS per siti web e progetti: perdere l’accesso potrebbe significare perdere dati o subire abusi di risorse.

In entrambi i casi, la prevenzione resta la strategia più efficace.

Conclusione

Il Modulo Go maligno che ruba credenziali SSH tramite bot Telegram rappresenta un esempio chiaro di come i criminali informatici sappiano sfruttare linguaggi moderni e piattaforme comuni per scopi malevoli.

La lezione da trarre è semplice: non basta avere un antivirus, serve una strategia di sicurezza completa, che includa aggiornamenti costanti, monitoraggio attivo e consapevolezza delle minacce.

La prossima volta che ti connetti via SSH o usi Telegram, ricorda che la comodità non deve mai andare a scapito della sicurezza.

Leggi anche: Cybersecurity

Leggi anche: Malware

✅ Questo contenuto è stato ottimizzato secondo i principi EEAT (Esperienza, Competenza, Autorevolezza, Affidabilità).