ToxicEye Malware

Badacze Infosec odkryli nową kampanię ataku, która rozprzestrzenia groźne szkodliwe oprogramowanie Toxic Eye. Ten RAT (trojan zdalnego dostępu) jest zdolny do wykonywania wielu szkodliwych funkcji na zaatakowanych systemach w zależności od celów aktora będącego zagrożeniem. Aby kontrolować zagrożenie i wydobyć poufne informacje od swoich ofiar, hakerzy odpowiedzialni za szkodliwe oprogramowanie ToxicEye wykorzystują klienta do popularnej aplikacji do przesyłania wiadomości Telegram.

ToxicEye zawiera wbudowany kod telegramu

Telegram został wybrany prawdopodobnie ze względu na niedawny wzrost bazy użytkowników - ponad 500 milionów aktywnych użytkowników na całym świecie oraz fakt, że jego klient jest dozwolony w prawie wszystkich organizacjach. Jednym z czynników przyczyniających się do wzrostu popularności Telegrama były nowe zasady dotyczące prywatności i zarządzania danymi WhatsApp, które skłoniły wielu użytkowników do poszukiwania alternatywnych platform komunikacyjnych. Wielu wylądowało na Telegramie ze względu na dwa z jego podstawowych aspektów, którymi są prywatność i bezpieczeństwo.

Początkowym wektorem ataku jest kampania spamowa, w której e-maile zawierają uszkodzone załączniki. Zagrożenie przez złośliwe oprogramowanie jest przedstawiane pod różnymi postaciami, na przykład jako „narzędzie sprawdzania PayPal przez saint.exe”. Gdy ofiara uruchamia plik, inicjuje zagrożenie, które wykorzystuje wbudowany kod Telegrama w celu połączenia się z serwerami dowodzenia i kontroli (C2, C&C) kampanii.

Funkcjonalność szkodliwego oprogramowania ToxicEye

W ciągu trzech miesięcy analitycy Infosec wykryli ponad 130 ataków, które wykorzystały ToxicEye i wykorzystały Telegram do kontrolowania zachowania zagrożenia. Hakerzy utworzyli bota Telegrama - zdalne konto, które umożliwia podmiotom będącym zagrożeniem interakcję z innymi użytkownikami na wiele różnych sposobów, w tym dodawanie osób do grup, rozpoczynanie czatów i wysyłanie żądań z pola wejściowego poprzez wpisanie zapytania i nazwy użytkownika bota.

Podczas różnych ataków ToxicEye otrzymał polecenie wykonania szerokiego zestawu nikczemnych czynności. Zaobserwowano, że zagrożenie to działa jako zbieracz danych, który przechwytuje hasła, informacje systemowe, historię przeglądarki i pliki cookie, a także ustanawia keylogger i nagrywa dowolny dźwięk i obraz. Hakerzy mogą manipulować systemem plików i przesyłać wybrane pliki na swój serwer, zabijać określone procesy lub kontrolować menedżera zadań zainfekowanego systemu. Ponadto ToxicEye działało jako oprogramowanie ransomware, które szyfruje pliki i czyni je bezużytecznymi.

Eksperci, którzy przeanalizowali zagrożenie szkodliwym oprogramowaniem ToxicEye, doradzają użytkownikom i organizacjom, aby zwracały uwagę na obecność pliku o nazwie „rat.exe” znajdującego się w katalogu „C: \ Users \ ToxicEye \ rat [.] Exe. Inną oznaką zagrożenia jest nieprawidłowy ruch między komputerami a kontami Telegrama, zwłaszcza jeśli w monitorowanych systemach nie powinien być zainstalowany Telegram.