TrojanSpy.MSIL.TOXICEYE.THCOGBC

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• %System Root%\Users\ToxicEye\rat.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Infiltra los archivos siguientes:

• %System Root%\Users\ToxicEye\Keylogs
• %System Root%\Users\ToxicEye\autosteal.lock
• %Temp File%\tmp4EC0.tmp.bat

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Agrega los procesos siguientes:

• Schtasks.exe /create /f /sc ONLOGON /RL HIGHEST /tn "Chrome update" /tr "%System Root%\Users\ToxicEye\rat.exe"
• cmd.exe /C %Temp File%\tmp4EC0.tmp.bat & Del %Temp File%\tmp4EC0.tmp.bat

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• ADMIN:3736989d58fe9efccf446e282e522a7a

Robo de información

Recopila los siguientes datos:

• Desktop Screenshot
• It gathers credentials from the following:
  • Browser(Credit Card, History Date, Bookmarks, Cookies):
  • Chrome
  • Chromium
  • Opera Stable
  • Brave-Browser
  • Amigo
  • Vivaldi
  • Orbitum
  • Atom
  • Kometa
  • Comodo Dragon
  • Torch
  • Comodo
  • Slimjet
  • 360Browser
  • Maxthon3
  • K-Melon
  • Sputnik
  • CocCoc
  • Nichrome
  • uCozMedia
  • Chromodo
  • YandexBrowser
  • Applications:
  • Filezilla
  • Telegram
  • Discord
  • Steam
• Zip files containing all files and applications present on %Desktop%
• Clipboard

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Escritorio y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\Desktop).

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• https://{BLOCKED}egram.org/bot5981399083:AAEHnXdvbepNaf6NW5inPfw0j_A5k_d0F-o/sendDocument?chat_id=5564760978

Otros detalles

Hace lo siguiente:

• Able to Elevate previlage to administrator
• It terminates itself if any of the following are satisfied:
  • If the difference from the generated ticks are less than 10 seconds
  • If the following strings are found in the Win32_ComputerSystem manufacturer:
  • vmware
  • If the following strings are found in the Win32_ComputerSystem model:
  • VIRTUAL
  • VirtualBox
  • If the following strings are found in the video controller present on the machine:
  • Vmware
  • VBox