Malware ToxicEye

Los investigadores de Infosec descubrieron una nueva campaña de ataque que está difundiendo el amenazante malware Toxic Eye. Este RAT (Troyano de acceso remoto) es capaz de realizar numerosas funciones dañinas en sistemas comprometidos, dependiendo de los objetivos del actor de la amenaza. Para controlar la amenaza y extraer información confidencial de sus víctimas, los piratas informáticos detrás del malware ToxicEye aprovechan al cliente para la popular aplicación de mensajería Telegram.

ToxicEye lleva un código de telegrama incrustado

Probablemente se eligió Telegram debido a su reciente crecimiento en la base de usuarios: más de 500 millones de usuarios activos en todo el mundo y el hecho de que su cliente está autorizado en casi todas las organizaciones. Uno de los factores que contribuyeron al aumento de la popularidad de Telegram fueron las nuevas políticas de gestión de datos y privacidad de WhatsApp que empujaron a muchos usuarios a buscar plataformas de mensajería alternativas. Muchos aterrizaron en Telegram debido a que dos de sus aspectos centrales son la privacidad y la seguridad.

El vector de compromiso inicial del ataque es una campaña de spam con correos electrónicos que contienen archivos adjuntos dañados. La amenaza de malware se presenta bajo diferentes disfraces, como 'paypal checker by saint.exe'. Cuando la víctima ejecuta el archivo, inicia la amenaza que usa el código de Telegram incrustado para conectarse a los servidores de Comando y Control (C2, C&C) de la campaña.

La funcionalidad del malware ToxicEye

En el lapso de tres meses, los analistas de Infosec detectaron más de 130 ataques que desplegaron ToxicEye y utilizaron Telegram para controlar el comportamiento de la amenaza. Los piratas informáticos establecieron un bot de Telegram, una cuenta remota que permite a los actores de amenazas interactuar con otros usuarios de múltiples maneras diferentes, incluyendo agregar personas a grupos, iniciar chats y enviar solicitudes desde el campo de entrada ingresando una consulta y el nombre de usuario del bot.

A través de los diferentes ataques, ToxicEye recibió instrucciones de realizar un amplio conjunto de actividades nefastas. Se observó que la amenaza actúa como un recolector de datos que recolecta contraseñas, información del sistema, historial del navegador y cookies, al mismo tiempo que establece un registrador de teclas y graba audio y video arbitrarios. Los piratas informáticos pueden manipular el sistema de archivos y cargar archivos seleccionados en su servidor, eliminar procesos específicos o controlar el administrador de tareas del sistema infectado. Además, ToxicEye actuó como ransomware que cifra archivos y los inutiliza.

Los expertos que analizaron la amenaza de malware ToxicEye aconsejan a los usuarios y organizaciones que estén atentos a la presencia de un archivo llamado 'rat.exe' ubicado dentro del directorio 'C: \ Users \ ToxicEye \ rat [.] Exe. Otro indicio de compromiso es el tráfico anormal entre computadoras y cuentas de Telegram, especialmente si se supone que los sistemas monitoreados no tienen Telegram instalado.