ToxicEye Malware

इन्फोसेक के शोधकर्ताओं ने एक नए हमले अभियान की खोज की जो खतरनाक टॉक्सिक आई मैलवेयर को फैला रहा है। यह RAT (रिमोट एक्सेस ट्रोजन) खतरे वाले अभिनेता के लक्ष्यों के आधार पर समझौता किए गए सिस्टम पर कई हानिकारक कार्य करने में सक्षम है। खतरे को नियंत्रित करने और अपने पीड़ितों से संवेदनशील जानकारी को निकालने के लिए, ToxicEye मैलवेयर के पीछे हैकर्स क्लाइंट को लोकप्रिय मैसेजिंग एप्लिकेशन टेलीग्राम के लिए लाभ उठाते हैं।

ToxicEye एंबेडेड टेलीग्राम कोड

टेलीग्राम को उपयोगकर्ता आधार में हाल ही में वृद्धि के कारण चुना गया था - दुनिया भर में 500 मिलियन से अधिक सक्रिय उपयोगकर्ता और तथ्य यह है कि इसके क्लाइंट को लगभग सभी संगठनों में अनुमति है। टेलीग्राम की लोकप्रियता में वृद्धि करने के लिए योगदान करने वाले कारकों में से एक व्हाट्सएप की नई गोपनीयता और डेटा प्रबंधन नीतियां थीं, जिन्होंने कई उपयोगकर्ताओं को वैकल्पिक संदेश प्लेटफार्मों की तलाश करने के लिए प्रेरित किया। इसके दो प्रमुख पहलू गोपनीयता और सुरक्षा के कारण टेलीग्राम पर कई लोग उतरे।

हमले का प्रारंभिक समझौता वेक्टर एक स्पैम अभियान है जिसमें भ्रष्ट फ़ाइल अनुलग्नकों को ले जाने वाले ईमेल हैं। मैलवेयर खतरा अलग-अलग भेसों के तहत प्रस्तुत किया जाता है, जैसे 'paypal checker by saint.exe।' जब पीड़ित फ़ाइल को निष्पादित करता है, तो यह उस खतरे को शुरू करता है जो अभियान के कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से कनेक्ट करने के लिए एम्बेडेड टेलीग्राम कोड का उपयोग करता है।

ToxicEye मैलवेयर कार्यक्षमता

तीन महीने की अवधि में, इन्फोसिस के विश्लेषकों ने 130 से अधिक हमलों का पता लगाया जो कि टोक्सिकाइ को तैनात किया और खतरे के व्यवहार को नियंत्रित करने के लिए टेलीग्राम का इस्तेमाल किया। हैकर्स ने एक टेलीग्राम बॉट की स्थापना की - एक दूरस्थ खाता जो खतरों के अभिनेताओं को अन्य उपयोगकर्ताओं के साथ कई अलग-अलग तरीकों से जुड़ने की अनुमति देता है, जिसमें लोगों को समूहों में जोड़ना, चैट शुरू करना और एक क्वेरी और बॉट के उपयोगकर्ता नाम दर्ज करके इनपुट क्षेत्र से अनुरोध भेजना शामिल है।

अलग-अलग हमलों के दौरान, टोक्सीईईई को नापाक गतिविधियों का एक विशाल सेट प्रदर्शन करने का निर्देश दिया गया था। यह खतरा एक डेटा-कलेक्टर के रूप में कार्य करने के लिए देखा गया था जो कि कीलॉगर स्थापित करते समय और ऑडियो और वीडियो की रिकॉर्डिंग करते समय पासवर्ड, सिस्टम की जानकारी, ब्राउज़र इतिहास और कुकीज़ को काटता है। हैकर्स फ़ाइल सिस्टम में हेरफेर कर सकते हैं और चयनित फ़ाइलों को अपने सर्वर पर अपलोड कर सकते हैं, विशिष्ट प्रक्रियाओं को मार सकते हैं या संक्रमित सिस्टम के कार्य प्रबंधक को नियंत्रित कर सकते हैं। इसके अलावा, ToxicEye ने रैंसमवेयर के रूप में काम किया जो फ़ाइलों को एन्क्रिप्ट करता है और उन्हें अनुपयोगी बनाता है।

जो विशेषज्ञ ToxicEye मैलवेयर खतरे का विश्लेषण करते हैं, वे उपयोगकर्ताओं और संगठनों को 'C: \ Users \ ToxicEye \ rat [] के अंदर स्थित' rat.exe 'नामक फ़ाइल की उपस्थिति के लिए नज़र रखने की सलाह देते हैं। समझौता का एक और संकेत कंप्यूटर और टेलीग्राम खातों के बीच असामान्य ट्रैफ़िक है, खासकर अगर मॉनिटर किए गए सिस्टम के लिए टेलीग्राम स्थापित नहीं होना चाहिए।