一个新的远程访问特洛伊木马(RAT)的操作员正在利用Telegram服务来保持对其恶意软件的控制。
被称为“毒眼”的老鼠滥用电报作为指挥与控制(C2)基础设施的一部分,以进行猖獗的数据盗窃。
周四,CheckPointResearch的Omer Hofman说https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>在博客文章中指出,新的远程恶意软件已在野外观察到,在过去三个月里记录了超过130起袭击事件。
Telegram是一种通信渠道和即时消息服务,由于WhatsApp的有争议的变化,最近它的受欢迎程度激增https://www.zdnet.com/article/whatsapp-tries-again-to-explain-what-data-it-shares-with-facebook-and-why/“target=”\u blank“>数据共享策略脸谱网。
这个每月活跃用户超过5亿的合法平台也受到了网络犯罪分子的欢迎,他们利用这项服务作为传播和部署恶意工具的跳板。
攻击链从ToxicEye操作员创建电报帐户和机器人开始。
机器人用于各种功能,包括提醒、搜索、发出命令和启动投票等功能。然而,在这种情况下,一个机器人被嵌入到恶意软件的配置中,用于恶意目的。
“任何受此恶意负载感染的受害者都可以通过Telegram机器人受到攻击,该机器人通过Telegram将用户的设备连接回攻击者的C2,”研究人员说
仿冒邮件被发送给带有恶意文档附件的目标受害者。如果受害者启用下载后续的恶意.exe文件,则ToxicEye将部署
ToxicEye RAT具有许多功能,您可能会期望这种特定品牌的恶意软件具备这些功能。这包括扫描和窃取凭据、计算机操作系统数据、浏览器历史记录、剪贴板内容和cookie的能力,以及操作员传输和删除文件、终止PC进程和劫持任务管理的选项。
此外,该恶意软件可以部署键盘记录器,并能够破坏麦克风和摄像头外围设备来录制音频和视频。勒索软件的特性,包括加密和解密受害者文件的能力,也被研究人员发现。
ToxicEye是使用Telegram来维护C2的一系列恶意软件中最新的一个,包含此功能的现成的开源恶意软件现在很常见。
如果怀疑感染,请搜索“C:\Users\ToxicEye”\rat.exe.“这适用于个人和企业使用,如果找到该文件,应立即从系统中删除。
“鉴于Telegram可用于分发恶意文件,或作为远程控制恶意软件的C2通道,我们完全希望未来将继续开发利用该平台的其他工具,”研究人员评论道。
以前及相关报道https://www.zdnet.com/article/obliquerat-trojan-now-hides-in-images-on-compromised-websites/“target=”\u blank“>ObliqueRAT特洛伊木马现在潜伏在受损网站的图像中有提示吗?通过WhatsApp安全联系,+447713 025 499,或访问Keybase:charlie0