Logiciel malveillant ToxicEye

Les chercheurs d'Infosec ont découvert une nouvelle campagne d'attaque qui propage le malware dangereux Toxic Eye. Ce RAT (Remote Access Trojan) est capable d'exécuter de nombreuses fonctions nuisibles sur les systèmes compromis en fonction des objectifs de l'acteur de la menace. Pour contrôler la menace et exfiltrer les informations sensibles de leurs victimes, les pirates derrière le malware ToxicEye exploitent le client pour la populaire application de messagerie Telegram.

ToxicEye porte un code de télégramme intégré

Telegram a probablement été choisi en raison de la croissance récente de sa base d'utilisateurs - plus de 500 millions d'utilisateurs actifs dans le monde et du fait que son client est autorisé dans presque toutes les organisations. L'un des facteurs contributifs à la montée en flèche de la popularité de Telegram a été les nouvelles politiques de confidentialité et de gestion des données de WhatsApp, qui ont poussé de nombreux utilisateurs à rechercher des plates-formes de messagerie alternatives. Beaucoup ont atterri sur Telegram en raison de deux de ses aspects fondamentaux: la confidentialité et la sécurité.

Le vecteur de compromis initial de l'attaque est une campagne de spam avec des e-mails contenant des pièces jointes corrompues. La menace de malware est présentée sous différents déguisements, tels que «paypal checker by saint.exe». Lorsque la victime exécute le fichier, elle lance la menace qui utilise le code Telegram intégré pour se connecter aux serveurs Command-and-Control (C2, C&C) de la campagne.

Le Malware ToxicEye Fonctionnalité

En l'espace de trois mois, les analystes d'Infosec ont détecté plus de 130 attaques qui ont déployé ToxicEye et utilisé Telegram pour contrôler le comportement de la menace. Les pirates ont créé un robot Telegram - un compte distant qui permet aux acteurs de la menace d'interagir avec d'autres utilisateurs de différentes manières, notamment en ajoutant des personnes à des groupes, en démarrant des discussions et en envoyant des demandes à partir du champ de saisie en entrant une requête et le nom d'utilisateur du bot.

À travers les différentes attaques, ToxicEye a été chargé d'effectuer un vaste ensemble d'activités néfastes. Il a été observé que la menace agit comme un collecteur de données qui collecte les mots de passe, les informations système, l'historique du navigateur et les cookies, tout en établissant un enregistreur de frappe et en enregistrant de l'audio et de la vidéo arbitraires. Les pirates peuvent manipuler le système de fichiers et télécharger les fichiers sélectionnés sur leur serveur, tuer des processus spécifiques ou contrôler le gestionnaire de tâches du système infecté. De plus, ToxicEye a agi comme un ransomware qui crypte les fichiers et les rend inutilisables.

Les experts qui ont analysé la menace du malware ToxicEye conseillent aux utilisateurs et aux organisations de surveiller la présence d'un fichier appelé «rat.exe» situé dans le répertoire «C: \ Users \ ToxicEye \ rat [.] Exe. Un autre signe de compromis est le trafic anormal entre les ordinateurs et les comptes Telegram, en particulier si les systèmes surveillés ne sont pas censés avoir Telegram installé sur eux.