ToxicEye RAT 利用電報通竊取信受害者數據

ToxicEye是一種新的遠程訪問木馬（RAT），它利用Telegram服務作為命令和控制基礎結構的一部分。

ToxicEye RAT是一種利用Telegram服務進行命令和控制的新型惡意軟件，Check Point的專家已經觀察到在過去三個月中記錄了130多次攻擊。

流行的IM服務的使用為攻擊者帶來了很多好處。Telegram是一項合法服務，企業級AV引擎和安全解決方案信任其流量。該服務是穩定的，并允許攻擊者保持匿名，因為注冊過程僅需要一個手機號碼。

電報還允許攻擊者使用其移動設備來訪問受感染的系統。

ToxicEye背后的威脅行為者通過包含惡意.exe文件的網絡釣魚電子郵件來傳播RAT。打開附件后，ToxicEye會將其自身安裝在受害者的設備上，并在后臺執行一些操作，例如：

• 竊取數據
• 刪除或傳輸文件
• 在PC上終止進程
• 劫持PC的麥克風和攝像頭以錄制音頻和視頻
• 出于勒索目的加密文件

攻擊者通過電報管理ToxicEye RAT，并使用IM平臺竊取數據。

研究人員注意到，ToxicEye RAT配置文件包含一個Telegram機器人，該機器人被編譯為可執行文件。

“攻擊者首先創建了一個電報帳戶和一個電報“機器人”。Telegram bot帳戶是一個特殊的遠程帳戶，用戶可以通過Telegram聊天或將其添加到Telegram組中進行交互，或者通過鍵入bot的Telegram用戶名和查詢直接從輸入字段發送請求，從而與之交互。” 讀取CheckPoint發布的分析。

“該機器人已嵌入ToxicEye RAT配置文件中，并編譯為可執行文件（我們發現的文件名示例是’saint.exe的Paypal Checker”）。任何被此惡意有效載荷感染的受害者都可以通過Telegram僵尸程序進行攻擊，該僵尸程序通過Telegram將用戶的設備連接回攻擊者的C＆C。”

專家指出，也可以通過按“啟用內容”來打開惡意文檔（solution.doc）來交付RAT。

要確定您的系統是否已被感染，請搜索名為C：\ Users \ ToxicEye \ rat.exe的文件，該文件的存在表明存在損害。

ToxicEye RAT支持多種功能，包括掃描和竊取憑據，計算機操作系統數據，瀏覽器歷史記錄，剪貼板內容和cookie的功能。該惡意軟件使攻擊者能夠傳輸和刪除文件，殺死PC進程并接管任務管理器。該惡意軟件還可以部署鍵盤記錄器，劫持麥克風，攝像頭和剪貼板中的內容。專家還注意到，RAT實現了勒索軟件功能，例如能夠加密和解密受害者文件的功能。

“發布這些工具的開發人員通過將它們定義為“遠程管理工具”或“僅用于教育目的”來掩飾其真實目的，盡管它們的某些特征經常在惡意木馬中發現。” 總結報告。

“鑒于Telegram可用于分發惡意文件，或作為遠程控制惡意軟件的C＆C渠道，我們完全希望將來會繼續開發利用該平臺的其他工具。”