ToxicEye RAT 利用电报通窃取信受害者数据

ToxicEye是一种新的远程访问木马（RAT），它利用Telegram服务作为命令和控制基础结构的一部分。

ToxicEye RAT是一种利用Telegram服务进行命令和控制的新型恶意软件，Check Point的专家已经观察到在过去三个月中记录了130多次攻击。

流行的IM服务的使用为攻击者带来了很多好处。Telegram是一项合法服务，企业级AV引擎和安全解决方案信任其流量。该服务是稳定的，并允许攻击者保持匿名，因为注册过程仅需要一个手机号码。

电报还允许攻击者使用其移动设备来访问受感染的系统。

ToxicEye背后的威胁行为者通过包含恶意.exe文件的网络钓鱼电子邮件来传播RAT。打开附件后，ToxicEye会将其自身安装在受害者的设备上，并在后台执行一些操作，例如：

• 窃取数据
• 删除或传输文件
• 在PC上终止进程
• 劫持PC的麦克风和摄像头以录制音频和视频
• 出于勒索目的加密文件

攻击者通过电报管理ToxicEye RAT，并使用IM平台窃取数据。

研究人员注意到，ToxicEye RAT配置文件包含一个Telegram机器人，该机器人被编译为可执行文件。

“攻击者首先创建了一个电报帐户和一个电报“机器人”。Telegram bot帐户是一个特殊的远程帐户，用户可以通过Telegram聊天或将其添加到Telegram组中进行交互，或者通过键入bot的Telegram用户名和查询直接从输入字段发送请求，从而与之交互。” 读取CheckPoint发布的分析。

“该机器人已嵌入ToxicEye RAT配置文件中，并编译为可执行文件（我们发现的文件名示例是’saint.exe的Paypal Checker”）。任何被此恶意有效载荷感染的受害者都可以通过Telegram僵尸程序进行攻击，该僵尸程序通过Telegram将用户的设备连接回攻击者的C＆C。”

专家指出，也可以通过按“启用内容”来打开恶意文档（solution.doc）来交付RAT。

要确定您的系统是否已被感染，请搜索名为C：\ Users \ ToxicEye \ rat.exe的文件，该文件的存在表明存在损害。

ToxicEye RAT支持多种功能，包括扫描和窃取凭据，计算机操作系统数据，浏览器历史记录，剪贴板内容和cookie的功能。该恶意软件使攻击者能够传输和删除文件，杀死PC进程并接管任务管理器。该恶意软件还可以部署键盘记录器，劫持麦克风，摄像头和剪贴板中的内容。专家还注意到，RAT实现了勒索软件功能，例如能够加密和解密受害者文件的功能。

“发布这些工具的开发人员通过将它们定义为“远程管理工具”或“仅用于教育目的”来掩饰其真实目的，尽管它们的某些特征经常在恶意木马中发现。” 总结报告。

“鉴于Telegram可用于分发恶意文件，或作为远程控制恶意软件的C＆C渠道，我们完全希望将来会继续开发利用该平台的其他工具。”