ToxicEye RAT 利用电报通窃取信受害者数据

Andrew 2021-04-26
专栏 发布于 2021-04-26 10:34:38 阅读 515 评论 0

ToxicEye是一种新的远程访问木马(RAT),它利用Telegram服务作为命令和控制基础结构的一部分。

ToxicEye RAT是一种利用Telegram服务进行命令和控制的新型恶意软件,Check Point的专家已经观察到在过去三个月中记录了130多次攻击。

流行的IM服务的使用为攻击者带来了很多好处。Telegram是一项合法服务,企业级AV引擎和安全解决方案信任其流量。该服务是稳定的,并允许攻击者保持匿名,因为注册过程仅需要一个手机号码。

电报还允许攻击者使用其移动设备来访问受感染的系统。

ToxicEye背后的威胁行为者通过包含恶意.exe文件的网络钓鱼电子邮件来传播RAT。打开附件后,ToxicEye会将其自身安装在受害者的设备上,并在后台执行一些操作,例如:

  • 窃取数据
  • 删除或传输文件
  • 在PC上终止进程
  • 劫持PC的麦克风和摄像头以录制音频和视频
  • 出于勒索目的加密文件

攻击者通过电报管理ToxicEye RAT,并使用IM平台窃取数据。

研究人员注意到,ToxicEye RAT配置文件包含一个Telegram机器人,该机器人被编译为可执行文件。

“攻击者首先创建了一个电报帐户和一个电报“机器人”。Telegram bot帐户是一个特殊的远程帐户,用户可以通过Telegram聊天或将其添加到Telegram组中进行交互,或者通过键入bot的Telegram用户名和查询直接从输入字段发送请求,从而与之交互。” 读取CheckPoint发布的分析。

“该机器人已嵌入ToxicEye RAT配置文件中,并编译为可执行文件(我们发现的文件名示例是’saint.exe的Paypal Checker”)。任何被此恶意有效载荷感染的受害者都可以通过Telegram僵尸程序进行攻击,该僵尸程序通过Telegram将用户的设备连接回攻击者的C&C。”

专家指出,也可以通过按“启用内容”来打开恶意文档(solution.doc)来交付RAT。

ToxicEye电报2

要确定您的系统是否已被感染,请搜索名为C:\ Users \ ToxicEye \ rat.exe的文件,该文件的存在表明存在损害。

ToxicEye RAT支持多种功能,包括扫描和窃取凭据,计算机操作系统数据,浏览器历史记录,剪贴板内容和cookie的功能。该恶意软件使攻击者能够传输和删除文件,杀死PC进程并接管任务管理器。该恶意软件还可以部署键盘记录器,劫持麦克风,摄像头和剪贴板中的内容。专家还注意到,RAT实现了勒索软件功能,例如能够加密和解密受害者文件的功能。

“发布这些工具的开发人员通过将它们定义为“远程管理工具”或“仅用于教育目的”来掩饰其真实目的,尽管它们的某些特征经常在恶意木马中发现。” 总结报告。

“鉴于Telegram可用于分发恶意文件,或作为远程控制恶意软件的C&C渠道,我们完全希望将来会继续开发利用该平台的其他工具。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!