ToxicEye Malware

Os pesquisadores de Infosec descobriram uma nova campanha de ataque que está espalhando um malware ameaçador, o Toxic Eye. Esse RAT (Trojan de Acesso Remoto) é capaz de realizar várias funções prejudiciais em sistemas comprometidos, dependendo dos objetivos do ator da ameaça. Para controlar a ameaça e exfiltrar informações confidenciais de suas vítimas, os hackers por trás do malware ToxicEye aproveitam o cliente para o popular aplicativo de mensagens Telegram.

O ToxicEye Carrega o Código do Telegrama Incorporado

O Telegram foi provavelmente escolhido devido ao seu recente crescimento na base de usuários - mais de 500 milhões de usuários ativos em todo o mundo e ao fato de que seu cliente é permitido em quase todas as organizações. Um dos fatores que contribuíram para o aumento da popularidade do Telegram foram as novas políticas de privacidade e gerenciamento de dados do WhatsApp, que levaram muitos usuários a procurar plataformas alternativas de mensagens. Muitos acessaram o Telegram devido a dois de seus principais aspectos: privacidade e segurança.

O vetor de comprometimento inicial do ataque é uma campanha de spam com e-mails contendo anexos de arquivos corrompidos. A ameaça de malware é apresentada sob diferentes disfarces, tais como 'verificador do paypal por saint.exe.' Quando a vítima executa o arquivo, ela inicia a ameaça que usa o código do Telegram incorporado para se conectar aos servidores de comando e controle (C2, C&C) da campanha.

A Funcionalidade de Malware do ToxicEye

No período de três meses, os analistas da Infosec detectaram mais de 130 ataques que implantaram o ToxicEye e usaram o Telegram para controlar o comportamento da ameaça. Os hackers estabeleceram um bot do Telegram - uma conta remota que permite que os agentes da ameaça se envolvam com outros usuários de várias maneiras diferentes, incluindo adicionar pessoas a grupos, iniciar bate-papos e enviar solicitações do campo de entrada inserindo uma consulta e o nome de usuário do bot.

Entre os diferentes ataques, o ToxicEye foi instruído a realizar um vasto conjunto de atividades nefastas. Observou-se que a ameaça atua como um coletor de dados que coleta senhas, informações do sistema, histórico do navegador e cookies, ao mesmo tempo que estabelece um keylogger e grava áudio e vídeo arbitrários. Os hackers podem manipular o sistema de arquivos e carregar os arquivos selecionados em seus servidores, eliminar processos específicos ou controlar o gerenciador de tarefas do sistema infectado. Além disso, o ToxicEye atuou como ransomware que criptografa arquivos e os torna inutilizáveis.

Os especialistas que analisaram a ameaça de malware do ToxicEye aconselham os usuários e organizações a ficarem atentos à presença de um arquivo chamado 'rat.exe' localizado dentro do diretório 'C:\Users\ToxicEye\Rat [.]Exe. Outra indicação de comprometimento é o tráfego anormal entre computadores e contas do Telegram, especialmente se os sistemas monitorados não deveriam ter o Telegram instalado neles.