Threat Database Malware ToxicEyeマルウェア

ToxicEyeマルウェア

Infosecの研究者は、脅威となるToxicEyeマルウェアを広めている新しい攻撃キャンペーンを発見しました。このRAT(リモートアクセストロイの木馬)は、攻撃者の目的に応じて、侵害されたシステム上で多数の有害な機能を実行することができます。 ToxicEyeマルウェアの背後にいるハッカーは、脅威を制御し、被害者から機密情報を盗み出すために、人気のあるメッセージングアプリケーションTelegramのクライアントを利用します。

ToxicEyeは埋め込まれた電報コードを運ぶ

Telegramが選択されたのは、最近のユーザーベースの増加(世界中で5億人を超えるアクティブユーザー)と、そのクライアントがほぼすべての組織で許可されているという事実のためです。 Telegramの人気急上昇の要因の1つは、WhatsAppの新しいプライバシーおよびデータ管理ポリシーであり、多くのユーザーが代替のメッセージングプラットフォームを探すようになりました。プライバシーとセキュリティという2つの主要な側面があるため、多くの人がTelegramにアクセスしました。

攻撃の最初の侵害ベクトルは、破損した添付ファイルを含む電子メールを使用したスパムキャンペーンです。マルウェアの脅威は、「saint.exeによるペイパルチェッカー」などのさまざまな偽装で提示されます。被害者がファイルを実行すると、埋め込まれたテレグラムコードを使用して、キャンペーンのコマンドアンドコントロール(C2、C&C)サーバーに接続する脅威が発生します。

ToxicEyeマルウェアの機能

Infosecのアナリストは、3か月の間に、ToxicEyeを展開し、Telegramを使用して脅威の動作を制御する130を超える攻撃を検出しました。ハッカーはテレグラムボットを確立しました。これは、攻撃者がグループへのユーザーの追加、チャットの開始、クエリとボットのユーザー名を入力して入力フィールドからのリクエストの送信など、さまざまな方法で他のユーザーとやり取りできるようにするリモートアカウントです。

さまざまな攻撃の中で、ToxicEyeは膨大な数の不正なアクティビティを実行するように指示されました。この脅威は、パスワード、システム情報、ブラウザーの履歴、およびCookieを収集すると同時に、キーロガーを確立し、任意のオーディオとビデオを記録するデータコレクターとして機能することが確認されました。ハッカーは、ファイルシステムを操作して、選択したファイルをサーバーにアップロードしたり、特定のプロセスを強制終了したり、感染したシステムのタスクマネージャーを制御したりできます。さらに、ToxicEyeは、ファイルを暗号化して使用できなくするランサムウェアとして機能しました。

ToxicEyeマルウェアの脅威を分析した専門家は、ユーザーと組織に、「C:\ Users \ ToxicEye \ rat [。] exe」ディレクトリ内にある「rat.exe」というファイルの存在を監視するようにアドバイスしています。侵害のもう1つの兆候は、特に監視対象のシステムにTelegramがインストールされていない場合に、コンピューターとTelegramアカウント間の異常なトラフィックです。

トレンド

最も見られました

読み込んでいます...