ToxicEye Malware

Infosec-forskere opdagede en ny angrebskampagne, der spreder den truende Toxic Eye-malware. Denne RAT (Remote Access Trojan) er i stand til at udføre adskillige skadelige funktioner på kompromitterede systemer afhængigt af målene for trusselsaktøren. For at kontrollere truslen og exfiltrere følsomme oplysninger fra deres ofre udnytter hackerne bag ToxicEye-malware klienten til det populære messaging-program Telegram.

ToxicEye bærer indlejret telegramkode

Telegram blev sandsynligvis valgt på grund af den nylige vækst i brugerbasen - over 500 millioner aktive brugere over hele verden og det faktum, at dens klient er tilladt i næsten alle organisationer. En af de medvirkende faktorer til stigningen i Telegrams popularitet var WhatsApps nye privatlivs- og datastyringspolitikker, der skubbede mange brugere til at lede efter alternative messaging-platforme. Mange landede på Telegram på grund af to af dets centrale aspekter var privatlivets fred og sikkerhed.

Den første kompromisvektor for angrebet er en spam-kampagne med e-mails med korrupte filvedhæftninger. Malwaretruslen præsenteres under forskellige forklædninger, såsom 'paypal checker by saint.exe.' Når offeret udfører filen, initierer den truslen, der bruger den integrerede Telegram-kode til at oprette forbindelse til Command-and-Control (C2, C&C) -serverne i kampagnen.

Den ToxicEye Malware Funktionalitet

I løbet af tre måneder opdagede Infosec-analytikere over 130 angreb, der implementerede ToxicEye og brugte Telegram til at kontrollere trusselens opførsel. Hackerne oprettede en Telegram-bot - en fjernkonto, der giver trusselsaktørerne mulighed for at engagere sig med andre brugere på flere forskellige måder, herunder tilføje folk til grupper, starte chats og sende anmodninger fra inputfeltet ved at indtaste en forespørgsel og botens brugernavn.

På tværs af de forskellige angreb blev ToxicEye instrueret i at udføre et stort sæt af skændige aktiviteter. Truslen blev observeret for at fungere som en dataindsamler, der høster adgangskoder, systemoplysninger, browserhistorik og cookies, samtidig med at der oprettes en keylogger og optager vilkårlig lyd og video. Hackerne kan manipulere filsystemet og uploade udvalgte filer til deres server, dræbe specifikke processer eller kontrollere det inficerede systems task manager. Derudover fungerede ToxicEye som ransomware, der krypterer filer og gør dem ubrugelige.

Eksperterne, der analyserede ToxicEye-malware-truslen, råder brugere og organisationer til at holde øje med tilstedeværelsen af en fil kaldet 'rat.exe' placeret inde i 'C: \ Users \ ToxicEye \ rat [.] Exe-biblioteket. En anden indikation på kompromis er unormal trafik mellem computere og Telegram-konti, især hvis de overvågede systemer ikke skal have Telegram installeret på dem.