DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
ToxicEye RAT khai thác dịch vụ Telegram để đánh cắp dữ liệu từ nạn nhân
ToxicEye RAT là một phần mềm độc hại mới sử dụng các dịch vụ Telegram để ra lệnh và kiểm soát (C&C), các chuyên gia từ Check Point đã quan sát thấy hơn 130 cuộc tấn công được ghi nhận trong ba tháng qua.
Việc sử dụng dịch vụ nhắn tin nhanh phổ biến mang lại cho những kẻ tấn công nhiều lợi ích. Telegram là một dịch vụ hợp pháp và các phần mềm diệt virus cấp doanh nghiệp và các giải pháp bảo mật tin tưởng vào lưu lượng truy cập của nó. Dịch vụ này hoạt động rất ổn định và cho phép những kẻ tấn công ẩn danh vì chỉ cần số điện thoại di động cho quá trình đăng ký và sử dụng.
Telegram cũng cho phép những kẻ tấn công sử dụng thiết bị di động của mình để truy cập vào các hệ thống bị nhiễm.
Các kẻ điều hành đứng đằng sau ToxicEye phát tán phần mềm độc hại qua các email lừa đảo chứa tệp .exe độc hại. Khi mở tệp đính kèm, ToxicEye tự cài đặt trên thiết bị của nạn nhân và thực hiện một số hoạt động trong nền như:
Các nhà nghiên cứu nhận thấy rằng tệp cấu hình ToxicEye RAT bao gồm một Telegram bot được biên dịch thành một tệp thực thi.
Các nhà nghiên cứu bảo mật của CheckPoint cho biết: “Đầu tiên kẻ tấn công tạo một tài khoản Telegram và một Telegram bot. Tài khoản Telegram bot là một tài khoản từ xa đặc biệt mà người dùng có thể tương tác bằng trò chuyện Telegram hoặc bằng cách thêm tài khoản này vào các nhóm Telegram hoặc bằng cách gửi yêu cầu trực tiếp tới các nhóm Telegram thông qua việc tìm kiếm."
“Telegram bot được nhúng vào tệp cấu hình ToxicEye RAT và được biên dịch thành tệp thực thi, ví dụ như tệp paypal checker by saint.exe. Bất kỳ nạn nhân nào bị nhiễm mã độc trọng tệp độc hại này đều có thể bị tấn công thông qua Telegram bot, bot này kết nối thiết bị của người dùng trở lại máy chủ ra lệnh và kiểm soát của kẻ tấn công thông qua Telegram.”
Các chuyên gia chỉ ra rằng ToxicEye RAT cũng có thể được phân phối bằng cách mở một tài liệu độc hại (solution.doc) thông qua việc nhấn vào “enable content.”
Để xác định xem hệ thống của bạn có bị nhiễm virus hay không, hãy tìm kiếm một tệp có tên C:\Users\ToxicEye\rat.exe trên hệ thống của bạn.
ToxicEye RAT hỗ trợ nhiều chức năng bao gồm khả năng quét và lấy cắp thông tin đăng nhập, dữ liệu hệ điều hành máy tính, lịch sử trình duyệt, nội dung khay nhớ tạm và cookie. Phần mềm độc hại này cho phép những kẻ tấn công chuyển và xóa các tệp, đóng các tiến trình của máy tính và tiếp quản trình quản lý tác vụ. Phần mềm độc hại cũng có thể triển khai keylogger, kiểm soát micrô, máy ảnh và nội dung của khay nhớ tạm. Các chuyên gia cũng nhận thấy rằng phần mềm độc hại này triển khai các tính năng của ransomware như khả năng mã hóa và giải mã các tệp của nạn nhân.
Báo cáo kết luận rằng: “Các nhà phát triển phát hành các công cụ này che giấu mục đích thực sự của chúng bằng cách xác định chúng là một “công cụ quản trị từ xa” hoặc “chỉ dành cho mục đích giáo dục”, mặc dù một số đặc điểm của chúng thường được tìm thấy trong các Trojan độc hại.”
“Do Telegram có thể được sử dụng để phân phối các tệp độc hại hoặc làm kênh ra lệnh và kiểm soát cho phần mềm độc hại được điều khiển từ xa, chúng tôi phỏng đoán rằng sẽ có thêm nhiều công cụ khai thác nền tảng này sẽ tiếp tục được phát triển trong tương lai.”
Việc sử dụng dịch vụ nhắn tin nhanh phổ biến mang lại cho những kẻ tấn công nhiều lợi ích. Telegram là một dịch vụ hợp pháp và các phần mềm diệt virus cấp doanh nghiệp và các giải pháp bảo mật tin tưởng vào lưu lượng truy cập của nó. Dịch vụ này hoạt động rất ổn định và cho phép những kẻ tấn công ẩn danh vì chỉ cần số điện thoại di động cho quá trình đăng ký và sử dụng.
Telegram cũng cho phép những kẻ tấn công sử dụng thiết bị di động của mình để truy cập vào các hệ thống bị nhiễm.
Các kẻ điều hành đứng đằng sau ToxicEye phát tán phần mềm độc hại qua các email lừa đảo chứa tệp .exe độc hại. Khi mở tệp đính kèm, ToxicEye tự cài đặt trên thiết bị của nạn nhân và thực hiện một số hoạt động trong nền như:
- Đánh cắp dữ liệu
- Xóa hoặc chuyển tệp
- Tiêu diệt các tiến trình trên máy tính
- Chiếm quyền kiểm soát micro và máy ảnh của máy tính để ghi âm thanh và video
- Mã hóa tệp với mục đích đòi tiền chuộc
Các nhà nghiên cứu nhận thấy rằng tệp cấu hình ToxicEye RAT bao gồm một Telegram bot được biên dịch thành một tệp thực thi.
Các nhà nghiên cứu bảo mật của CheckPoint cho biết: “Đầu tiên kẻ tấn công tạo một tài khoản Telegram và một Telegram bot. Tài khoản Telegram bot là một tài khoản từ xa đặc biệt mà người dùng có thể tương tác bằng trò chuyện Telegram hoặc bằng cách thêm tài khoản này vào các nhóm Telegram hoặc bằng cách gửi yêu cầu trực tiếp tới các nhóm Telegram thông qua việc tìm kiếm."
“Telegram bot được nhúng vào tệp cấu hình ToxicEye RAT và được biên dịch thành tệp thực thi, ví dụ như tệp paypal checker by saint.exe. Bất kỳ nạn nhân nào bị nhiễm mã độc trọng tệp độc hại này đều có thể bị tấn công thông qua Telegram bot, bot này kết nối thiết bị của người dùng trở lại máy chủ ra lệnh và kiểm soát của kẻ tấn công thông qua Telegram.”
Các chuyên gia chỉ ra rằng ToxicEye RAT cũng có thể được phân phối bằng cách mở một tài liệu độc hại (solution.doc) thông qua việc nhấn vào “enable content.”
Để xác định xem hệ thống của bạn có bị nhiễm virus hay không, hãy tìm kiếm một tệp có tên C:\Users\ToxicEye\rat.exe trên hệ thống của bạn.
ToxicEye RAT hỗ trợ nhiều chức năng bao gồm khả năng quét và lấy cắp thông tin đăng nhập, dữ liệu hệ điều hành máy tính, lịch sử trình duyệt, nội dung khay nhớ tạm và cookie. Phần mềm độc hại này cho phép những kẻ tấn công chuyển và xóa các tệp, đóng các tiến trình của máy tính và tiếp quản trình quản lý tác vụ. Phần mềm độc hại cũng có thể triển khai keylogger, kiểm soát micrô, máy ảnh và nội dung của khay nhớ tạm. Các chuyên gia cũng nhận thấy rằng phần mềm độc hại này triển khai các tính năng của ransomware như khả năng mã hóa và giải mã các tệp của nạn nhân.
Báo cáo kết luận rằng: “Các nhà phát triển phát hành các công cụ này che giấu mục đích thực sự của chúng bằng cách xác định chúng là một “công cụ quản trị từ xa” hoặc “chỉ dành cho mục đích giáo dục”, mặc dù một số đặc điểm của chúng thường được tìm thấy trong các Trojan độc hại.”
“Do Telegram có thể được sử dụng để phân phối các tệp độc hại hoặc làm kênh ra lệnh và kiểm soát cho phần mềm độc hại được điều khiển từ xa, chúng tôi phỏng đoán rằng sẽ có thêm nhiều công cụ khai thác nền tảng này sẽ tiếp tục được phát triển trong tương lai.”
Theo: securityaffairs