ToxicEye Malware

I ricercatori di Infosec hanno scoperto una nuova campagna di attacco che sta diffondendo il minaccioso malware Toxic Eye. Questo RAT (Remote Access Trojan) è in grado di eseguire numerose funzioni dannose su sistemi compromessi a seconda degli obiettivi dell'attore della minaccia. Per controllare la minaccia ed esfiltrare informazioni sensibili dalle loro vittime, gli hacker dietro il malware ToxicEye sfruttano il client per la popolare applicazione di messaggistica Telegram.

ToxicEye trasporta il codice Telegram incorporato

Telegram è stato probabilmente scelto per la sua recente crescita della base di utenti: oltre 500 milioni di utenti attivi in tutto il mondo e per il fatto che il suo client è consentito in quasi tutte le organizzazioni. Uno dei fattori che hanno contribuito all'aumento della popolarità di Telegram sono state le nuove politiche sulla privacy e sulla gestione dei dati di WhatsApp che hanno spinto molti utenti a cercare piattaforme di messaggistica alternative. Molti sono approdati su Telegram a causa di due dei suoi aspetti principali: la privacy e la sicurezza.

Il vettore di compromissione iniziale dell'attacco è una campagna di spam con e-mail che contengono allegati di file danneggiati. La minaccia malware si presenta sotto diversi travestimenti, come "paypal checker by saint.exe". Quando la vittima esegue il file, avvia la minaccia che utilizza il codice Telegram incorporato per connettersi ai server Command-and-Control (C2, C&C) della campagna.

La funzionalità di ToxicEye Malware

Nell'arco di tre mesi, gli analisti di Infosec hanno rilevato oltre 130 attacchi che hanno implementato ToxicEye e utilizzato Telegram per controllare il comportamento della minaccia. Gli hacker hanno creato un bot di Telegram, un account remoto che consente agli autori delle minacce di interagire con altri utenti in molti modi diversi, tra cui l'aggiunta di persone a gruppi, l'avvio di chat e l'invio di richieste dal campo di input inserendo una query e il nome utente del bot.

Durante i diversi attacchi, ToxicEye è stato incaricato di eseguire una vasta serie di attività nefaste. È stato osservato che la minaccia agisce come un raccoglitore di dati che raccoglie password, informazioni di sistema, cronologia del browser e cookie, stabilendo anche un keylogger e registrando audio e video arbitrari. Gli hacker possono manipolare il file system e caricare file selezionati sul proprio server, interrompere processi specifici o controllare il task manager del sistema infetto. Inoltre, ToxicEye ha agito come ransomware che crittografa i file e li rende inutilizzabili.

Gli esperti che hanno analizzato la minaccia del malware ToxicEye consigliano agli utenti e alle organizzazioni di tenere d'occhio la presenza di un file chiamato "rat.exe" situato nella directory "C: \ Users \ ToxicEye \ rat [.] Exe". Un'altra indicazione di compromissione è il traffico anormale tra computer e account Telegram, soprattutto se i sistemi monitorati non dovrebbero avere Telegram installato su di essi.