ToxicEye Malware
Infosec-onderzoekers ontdekten een nieuwe aanvalscampagne die de dreigende Toxic Eye-malware verspreidt. Deze RAT (Remote Access Trojan) kan tal van schadelijke functies uitvoeren op gecompromitteerde systemen, afhankelijk van de doelen van de bedreigingsacteur. Om de dreiging onder controle te houden en gevoelige informatie van hun slachtoffers te verwijderen, gebruiken de hackers achter de ToxicEye-malware de client voor de populaire berichtentoepassing Telegram.
ToxicEye draagt ingebedde telegramcode
Waarschijnlijk is voor Telegram gekozen vanwege de recente groei van het gebruikersbestand - meer dan 500 miljoen actieve gebruikers wereldwijd en het feit dat de klant in bijna alle organisaties is toegestaan. Een van de factoren die hebben bijgedragen aan de sterke stijging van de populariteit van Telegram, was het nieuwe privacy- en gegevensbeheerbeleid van WhatsApp, waardoor veel gebruikers op zoek gingen naar alternatieve berichtenplatforms. Velen zijn op Telegram terechtgekomen vanwege twee van de kernaspecten, namelijk privacy en veiligheid.
De aanvankelijke compromisvector van de aanval is een spamcampagne met e-mails met beschadigde bestandsbijlagen. De malwarebedreiging wordt gepresenteerd onder verschillende vermommingen, zoals 'paypal checker by saint.exe'. Wanneer het slachtoffer het bestand uitvoert, initieert het de dreiging die de ingesloten Telegram-code gebruikt om verbinding te maken met de Command-and-Control-servers (C2, C&C) van de campagne.
De ToxicEye Malware-functionaliteit
In drie maanden tijd ontdekten analisten van Infosec meer dan 130 aanvallen waarbij ToxicEye werd ingezet en Telegram werd gebruikt om het gedrag van de dreiging te beheersen. De hackers hebben een Telegram-bot opgezet - een account op afstand waarmee de bedreigingsactoren op verschillende manieren met andere gebruikers kunnen communiceren, waaronder het toevoegen van mensen aan groepen, het starten van chats en het verzenden van verzoeken vanuit het invoerveld door een vraag en de gebruikersnaam van de bot in te voeren.
Bij de verschillende aanvallen kreeg ToxicEye de opdracht om een groot aantal snode activiteiten uit te voeren. De dreiging werd waargenomen als een gegevensverzamelaar die wachtwoorden, systeeminformatie, browsergeschiedenis en cookies verzamelt, terwijl hij ook een keylogger instelt en willekeurige audio en video opneemt. De hackers kunnen het bestandssysteem manipuleren en geselecteerde bestanden uploaden naar hun server, specifieke processen uitschakelen of de taakbeheerder van het geïnfecteerde systeem besturen. Bovendien fungeerde ToxicEye als ransomware die bestanden versleutelt en onbruikbaar maakt.
De experts die de ToxicEye-malwarebedreiging hebben geanalyseerd, adviseren gebruikers en organisaties om in de gaten te houden of er een bestand met de naam 'rat.exe' aanwezig is in de directory 'C: \ Users \ ToxicEye \ rat [.] Exe. Een andere indicatie van een compromis is abnormaal verkeer tussen computers en Telegram-accounts, vooral als op de bewaakte systemen Telegram niet is geïnstalleerd.
