ToxicEye惡意軟件

Infosec研究人員發現了一個新的攻擊活動，該活動正在傳播威脅性的Toxic Eye惡意軟件。此RAT（遠程訪問木馬）能夠根據威脅參與者的目標在受感染的系統上執行多種有害功能。為了控制威脅並從受害者那裡竊取敏感信息，ToxicEye惡意軟件背後的黑客利用客戶端使用了流行的消息傳遞應用程序Telegram。

ToxicEye攜帶嵌入式電報代碼

Telegram之所以被選中，是因為其最近的用戶群不斷增長-全球超過5億活躍用戶，並且幾乎所有組織都允許其客戶。 WhatsApp的新隱私和數據管理策略推動了許多用戶尋找替代消息平台，這是Telegram受歡迎程度激增的因素之一。由於其兩個核心方面是隱私和安全性，許多人都選擇了Telegram。

攻擊的最初折中手段是垃圾郵件運動，其中電子郵件攜帶損壞的文件附件。惡意軟件的威脅呈現在不同的偽裝下，例如“ saint.exe的Paypal Checker”。當受害者執行文件時，它會發起威脅，該威脅使用嵌入式電報代碼連接到戰役的命令與控制（C2，C＆C）服務器。

該ToxicEye惡意軟件功能

在三個月的時間裡，Infosec分析師發現了130多次部署ToxicEye並使用Telegram來控制威脅行為的攻擊。黑客建立了一個Telegram機器人-一個遠程帳戶，該帳戶允許威脅行為者以多種不同方式與其他用戶互動，包括將人員添加到組，開始聊天以及通過輸入查詢和bot的用戶名從輸入字段發送請求。

在不同的攻擊中，ToxicEye被指示執行大量的邪惡活動。據觀察，該威脅充當收集密碼，系統信息，瀏覽器歷史記錄和Cookie的數據收集器，同時還建立了鍵盤記錄器並記錄了任意音頻和視頻。黑客可以操縱文件系統並將選定的文件上傳到他們的服務器，殺死特定的進程，或控制受感染系統的任務管理器。此外，ToxicEye還充當了勒索軟件，可以對文件進行加密並使它們無法使用。

分析ToxicEye惡意軟件威脅的專家建議用戶和組織密切注意位於C：\ Users \ ToxicEye \ rat [。] exe目錄中的名為“ rat.exe”的文件。危害的另一個跡像是計算機和Telegram帳戶之間的流量異常，尤其是如果不應該在受監視的系統上安裝Telegram。