ToxicEye Malware

Infosec araştırmacıları, tehdit edici Toxic Eye kötü amaçlı yazılımını yayan yeni bir saldırı kampanyası keşfetti. Bu RAT (Uzaktan Erişim Truva Atı), tehdit aktörünün hedeflerine bağlı olarak tehlike altındaki sistemlerde çok sayıda zararlı işlevi gerçekleştirebilir. Tehditleri kontrol etmek ve kurbanlarından hassas bilgileri almak için, ToxicEye kötü amaçlı yazılımın arkasındaki bilgisayar korsanları, popüler mesajlaşma uygulaması Telegram için istemciden yararlanır.

ToxicEye Gömülü Telgraf Kodu Taşıyor

Telegram, kullanıcı tabanındaki son büyüme - dünya çapında 500 milyondan fazla aktif kullanıcı ve müşterisine neredeyse tüm kuruluşlarda izin verilmesi nedeniyle seçildi. Telegram'ın popülaritesindeki artışa katkıda bulunan faktörlerden biri, WhatsApp'ın birçok kullanıcıyı alternatif mesajlaşma platformları aramaya iten yeni gizlilik ve veri yönetimi politikalarıydı. Birçoğu, temel özelliklerinden ikisi gizlilik ve güvenlik olduğu için Telegram'a indi.

Saldırının ilk uzlaşma vektörü, bozuk dosya ekleri taşıyan e-postaların bulunduğu bir spam kampanyasıdır. Kötü amaçlı yazılım tehdidi, 'saint.exe'nin paypal denetleyicisi' gibi farklı kılıklar altında sunulur. Kurban dosyayı yürüttüğünde, kampanyanın Komut ve Kontrol (C2, C&C) sunucularına bağlanmak için katıştırılmış Telegram kodunu kullanan tehdidi başlatır.

ToxicEye Malware İşlevsellik

Üç aylık bir süre içinde, Infosec analistleri ToxicEye'ı dağıtan 130'dan fazla saldırı tespit etti ve tehdidin davranışını kontrol etmek için Telegram'ı kullandı. Bilgisayar korsanları, tehdit aktörlerinin diğer kullanıcılarla, gruplara kişi ekleme, sohbetler başlatma ve bir sorgu ve botun kullanıcı adını girerek giriş alanından istek gönderme dahil olmak üzere birçok farklı yolla etkileşim kurmasına olanak tanıyan bir Telegram botu kurdu.

Farklı saldırılar arasında, ToxicEye'a çok sayıda hain faaliyet gerçekleştirmesi talimatı verildi. Tehdidin, şifreleri, sistem bilgilerini, tarayıcı geçmişini ve çerezleri toplayan, aynı zamanda bir keylogger kuran ve rastgele ses ve video kaydeden bir veri toplayıcı görevi gördüğü gözlemlendi. Bilgisayar korsanları dosya sistemini değiştirebilir ve seçilen dosyaları sunucularına yükleyebilir, belirli işlemleri durdurabilir veya virüslü sistemin görev yöneticisini kontrol edebilir. Ek olarak, ToxicEye, dosyaları şifreleyen ve kullanılamaz hale getiren bir fidye yazılımı görevi gördü.

ToxicEye kötü amaçlı yazılım tehdidini analiz eden uzmanlar, kullanıcılara ve kuruluşlara 'C: \ Users \ ToxicEye \ rat [.] Exe dizininde bulunan' rat.exe 'adlı bir dosyanın varlığına dikkat etmelerini tavsiye ediyor. Başka bir güvenlik ihlali göstergesi, bilgisayarlar ve Telegram hesapları arasındaki anormal trafiktir, özellikle de izlenen sistemlerin üzerlerinde Telegram kurulu olmaması gerekiyorsa.