Threat Database Malware ToxicEye Malware

ToxicEye Malware

Infosec-Forscher entdeckten eine neue Angriffskampagne, die die bedrohliche Toxic Eye-Malware verbreitet. Dieser RAT (Remote Access Trojan) kann abhängig von den Zielen des Bedrohungsakteurs zahlreiche schädliche Funktionen auf gefährdeten Systemen ausführen. Um die Bedrohung zu kontrollieren und vertrauliche Informationen von ihren Opfern zu entfernen, nutzen die Hacker hinter der ToxicEye-Malware den Client für die beliebte Messaging-Anwendung Telegram.

ToxicEye trägt eingebetteten Telegrammcode

Das Telegramm wurde wahrscheinlich aufgrund seiner jüngsten Zunahme der Benutzerbasis ausgewählt - über 500 Millionen aktive Benutzer weltweit und der Tatsache, dass sein Client in fast allen Organisationen zugelassen ist. Einer der Faktoren, die zur Zunahme der Popularität von Telegram beigetragen haben, waren die neuen Datenschutz- und Datenverwaltungsrichtlinien von WhatsApp, die viele Benutzer dazu veranlassten, nach alternativen Messaging-Plattformen zu suchen. Viele landeten auf Telegram, weil zwei der Hauptaspekte Datenschutz und Sicherheit waren.

Der erste Kompromissvektor des Angriffs ist eine Spam-Kampagne mit E-Mails mit beschädigten Dateianhängen. Die Malware-Bedrohung wird unter verschiedenen Verkleidungen dargestellt, z. B. "Paypal Checker by saint.exe". Wenn das Opfer die Datei ausführt, initiiert es die Bedrohung, die den eingebetteten Telegrammcode verwendet, um eine Verbindung zu den Command-and-Control-Servern (C2, C & C) der Kampagne herzustellen.

Die ToxicEye Malware-Funktionalität

Innerhalb von drei Monaten entdeckten Infosec-Analysten über 130 Angriffe, bei denen ToxicEye eingesetzt wurde, und verwendeten Telegramm, um das Verhalten der Bedrohung zu kontrollieren. Die Hacker haben einen Telegramm-Bot eingerichtet - ein Remote-Konto, mit dem die Bedrohungsakteure auf verschiedene Weise mit anderen Benutzern in Kontakt treten können, z. B. indem sie Personen zu Gruppen hinzufügen, Chats starten und Anforderungen aus dem Eingabefeld senden, indem sie eine Abfrage und den Benutzernamen des Bots eingeben.

Bei den verschiedenen Angriffen wurde ToxicEye angewiesen, eine Vielzahl schändlicher Aktivitäten durchzuführen. Es wurde beobachtet, dass die Bedrohung als Datensammler fungiert, der Kennwörter, Systeminformationen, Browserverlauf und Cookies sammelt, einen Keylogger erstellt und beliebige Audio- und Videodaten aufzeichnet. Die Hacker können das Dateisystem manipulieren und ausgewählte Dateien auf ihren Server hochladen, bestimmte Prozesse beenden oder den Task-Manager des infizierten Systems steuern. Darüber hinaus fungierte ToxicEye als Ransomware, die Dateien verschlüsselt und unbrauchbar macht.

Die Experten, die die Bedrohung durch ToxicEye-Malware analysiert haben, empfehlen Benutzern und Organisationen, auf das Vorhandensein einer Datei mit dem Namen "rat.exe" im Verzeichnis "C: \ Users \ ToxicEye \ rat [.] Exe" zu achten. Ein weiterer Hinweis auf einen Kompromiss ist abnormaler Datenverkehr zwischen Computern und Telegrammkonten, insbesondere wenn auf den überwachten Systemen kein Telegramm installiert sein soll.

Im Trend

Am häufigsten gesehen

Wird geladen...