ToxicEye è il malware che sfrutta Telegram per rubare dati

Another ICT Guy

ToxicEye è il malware che sfrutta Telegram per rubare dati

Un gruppo hacker non meglio identificato controlla un Trojan con capacità di accesso remoto sfruttando Telegram:. battezzato “ToxicEye“, il RAT (Remote Access Tool) utilizza il programma di messaggistica all’interno della sua infrastruttura di comando e controllo per perpetrare una campagna di furto di dati.

Sono i ricercatori di Check Point Research ad aver individuato il problema, illustrandolo pubblicamente in un post sul blog ufficiale della società dove spiegano che negli ultimi tre mesi il RAT è stato avvistato, come si dice in questi casi, “in the wild” e si è reso protagonista di oltre 130 attacchi.

Telegram, che di recente ha conosciuto una certa popolarità come alternativa a Whatsapp, conta attualmente oltre 500 milioni di utenti mensili attivi, e si è dimostrata piuttosto apprezzata anche dai criminali informatici che spesso la utilizzano come punto di partenza per la distribuzione di strumenti dannosi e vettori d’attacco.

In questo caso la catena di attacchi prende il via con la creazione, da parte degli attori alle spalle di ToxicEye, che creano un account Telegram e un bot che è parte integrante dell’infrastruttura di controllo del malware. Il trojan viene diffuso tramite una “tradizionale” campagna di email phishing, e una volta aperto e installato può compiere le sue malefatte. Nel momento in cui il trojan viene installato, il bot creato dagli attaccanti si occupa di connettere il dispositivo bersaglio con il server di comando e controllo, da cui ToxicEye può ricevere istruzioni e comandi.

Il RAT ToxicEye mostra una serie di capacità abbastanza comuni tra i malware moderni: scansione e furto di credenziali, dati del sistema operativo, cronologia del browser, contenuto degli appunti e cookie. Trattandosi di uno strumento di accesso remoto non mancano poi le funzionalità di trasferimento e cancellazione di file e gestione dei processi e attività in corso. Il malware può funzionare anche da keylogger e può compromettere le periferiche audio/video collegate al sistema che possono essere usate per intercettare comunicazioni vocali o registrare filmati. Sono state rilevate anche funzioni ransomware, cioè la possibilità di crittografare dati.

Per verificare se il trojan ToxicEye sia presente sul sistema, l’indicatore di compromissione più significativo è la presenza del file rat.exe al percorso C:\Users\ToxicEye\. Valgono poi le solite raccomandazioni di precauzione e prevenzione: verificare sempre il mittente di una mail e non aprire allegati di dubbia provenienza.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *