ToxicEye: Trojanec zlorablja platformo Telegram za krajo vaših podatkov

  • Sep 06, 2023

RAT uporablja robote za širjenje po kanalih Telegram.

Operaterji novega trojanca za oddaljeni dostop (RAT) izkoriščajo storitev Telegram za ohranjanje nadzora nad svojo zlonamerno programsko opremo.

Varnost

  • 8 navad zelo varnih delavcev na daljavo
  • Kako najti in odstraniti vohunsko programsko opremo iz telefona
  • Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
  • Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej

RAT, imenovan ToxicEye, zlorablja Telegram kot del infrastrukture za ukazovanje in nadzor (C2), da bi izvajal divjo krajo podatkov.

V četrtek je dejal Omer Hofman iz Check Point Research v objavi v blogu da so novo zlonamerno programsko opremo na daljavo opazili v divjini, saj so v zadnjih treh mesecih zabeležili več kot 130 napadov.

Telegram je komunikacijski kanal in storitev takojšnjega sporočanja, ki je nedavno doživela povečan porast priljubljenosti zaradi kontroverznih sprememb v storitvi WhatsApp. politike souporabe podatkov s Facebookom.

Legitimna platforma, ki šteje več kot 500 milijonov aktivnih uporabnikov mesečno, se je izkazala za priljubljeno tudi pri kibernetskih kriminalcih, ki storitev uporabljajo kot odskočno desko za širjenje in uvajanje zlonamernih orodij.

Veriga napada se začne z operaterji ToxicEye, ki ustvarijo račun Telegram in bota.

Boti se med drugim uporabljajo za različne funkcije, vključno z opomniki, iskanji, izdajanjem ukazov in za zagon anket. Vendar je v tem primeru bot v zlonamerne namene vgrajen v konfiguracijo zlonamerne programske opreme.

"Vsako žrtev, okuženo s tem zlonamernim tovorom, je mogoče napadeti prek Telegram bota, ki prek Telegrama poveže uporabnikovo napravo nazaj z napadalčevim C2," pravijo raziskovalci.

E-poštna sporočila z lažnim predstavljanjem so poslana predvidenim žrtvam, ki imajo zlonamerne priloge dokumentov. Če žrtev omogoči prenos naslednje zlonamerne datoteke .exe, se ToxicEye nato uvede.

ToxicEye RAT ima številne funkcije, za katere bi pričakovali, da jih ima ta posebna znamka zlonamerne programske opreme. To vključuje zmožnost skeniranja in kraje poverilnic, podatkov OS računalnika, zgodovine brskalnika, vsebine odložišča in piškotke, kot tudi možnost operaterjev za prenos in brisanje datotek, uničenje procesov v računalniku in ugrabitev nalog upravljanje.

Poleg tega lahko zlonamerna programska oprema uvede zapisovalnike tipk in lahko ogrozi mikrofone in zunanje naprave kamere za snemanje zvoka in videa. Raziskovalci so odkrili tudi lastnosti izsiljevalske programske opreme, vključno z zmožnostjo šifriranja in dešifriranja datotek žrtev.

ToxicEye je zadnji v nizu različic zlonamerne programske opreme, ki uporablja Telegram za vzdrževanje C2, pri čemer je standardna in odprtokodna zlonamerna programska oprema, ki vsebuje to funkcijo, zdaj običajna.

Če sumite na okužbo, poiščite "C:\Users\ToxicEye\rat.exe." To velja za individualno in poslovno uporabo, in če jo najdete, je treba datoteko takoj odstraniti iz vašega sistema.

"Glede na to, da se lahko Telegram uporablja za distribucijo zlonamernih datotek ali kot kanal C2 za daljinsko nadzorovano zlonamerno programsko opremo, smo popolnoma pričakujemo, da se bodo dodatna orodja, ki izkoriščajo to platformo, še naprej razvijala v prihodnosti," so raziskovalci komentiral.

Prejšnja in sorodna pokritost

  • Trojanec ObliqueRAT se zdaj skriva v slikah na ogroženih spletnih mestih
  • Spoznajte Janeleiro: novo bančno trojansko podjetje, ki napada vlado
  • Ursnif Trojan je napadel več kot 100 italijanskih bank

Imate namig? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali na Keybase: charlie0