ToxicEye Malware

Infosec-forskare upptäckte en ny attackkampanj som sprider den hotande skadliga skadliga skadliga ögonen. Denna RAT (Remote Access Trojan) kan utföra många skadliga funktioner på komprometterade system beroende på målen för hotaktören. För att kontrollera hotet och exfiltrera känslig information från sina offer utnyttjar hackarna bakom ToxicEye-klienten klienten för det populära meddelandeprogrammet Telegram.

ToxicEye bär inbäddad telegramkod

Telegram valdes troligtvis på grund av sin senaste tillväxt i användarbas - över 500 miljoner aktiva användare över hela världen och det faktum att dess klient är tillåten i nästan alla organisationer. En av de bidragande faktorerna till den kraftiga ökningen av Telegrams popularitet var WhatsApps nya integritets- och datahanteringspolicy som fick många användare att leta efter alternativa meddelandeplattformar. Många landade på Telegram på grund av att två av dess kärnaspekter var integritet och säkerhet.

Den första kompromissvektorn för attacken är en skräppostkampanj med e-postmeddelanden med skadade filbilagor. Skadlig hot presenteras under olika förklädnader, till exempel 'paypal checker by saint.exe.' När offret kör filen initierar det hotet som använder den inbäddade Telegram-koden för att ansluta till Command-and-Control (C2, C&C) servrar i kampanjen.

Den ToxicEye Malware Funktionalitet

Under tre månader upptäckte Infosec-analytiker över 130 attacker som utplacerade ToxicEye och använde Telegram för att kontrollera hotet. Hackarna skapade en Telegram-bot - ett fjärrkonto som gör det möjligt för hotaktörerna att interagera med andra användare på flera olika sätt, inklusive att lägga till personer i grupper, starta chattar och skicka förfrågningar från inmatningsfältet genom att ange en fråga och botens användarnamn.

Tvärs över de olika attackerna instruerades ToxicEye att utföra en stor uppsättning av onda aktiviteter. Hotet observerades fungera som en datainsamlare som skördar lösenord, systeminformation, webbläsarhistorik och cookies, samtidigt som man skapar en keylogger och spelar in godtyckligt ljud och video. Hackarna kan manipulera filsystemet och ladda upp valda filer till sin server, döda specifika processer eller kontrollera det infekterade systemets aktivitetshanterare. Dessutom fungerade ToxicEye som ransomware som krypterar filer och gör dem oanvändbara.

Experterna som analyserade hotet mot ToxicEye-skadlig programvara råder användare och organisationer att hålla ett öga på förekomsten av en fil som heter 'rat.exe' som finns i katalogen 'C: \ Users \ ToxicEye \ rat [.] Exe. En annan indikation på kompromiss är onormal trafik mellan datorer och Telegram-konton, särskilt om de övervakade systemen inte ska ha Telegram installerat på dem.