ThirdEye Stealer skraber systemoplysninger

En ny informationstjælende malware ved navn ThirdEye er dukket op i naturen, som er i stand til at udtrække følsomme data fra kompromitterede systemer. Fortinet FortiGuard Labs gjorde denne opdagelse, da de faldt over malwaren i en eksekverbar fil, der poserede som et russisk-navngivet PDF-dokument med titlen "CMK Правила оформления больничных листов.pdf.exe," som oversættes til "CMpK Rules for leave.dsfssing.exe". exe."

Leveringsmetoden for denne malware er stadig usikker, men karakteristikaene ved bedraget tyder på, at det bruges i et phishing-skema. Den første forekomst af ThirdEye blev uploadet til VirusTotal den 4. april 2023 og viste færre funktioner sammenlignet med senere iterationer.

I lighed med anden malware af sin art besidder denne udviklende datatyv evnen til at indsamle systemmetadata, såsom BIOS-udgivelsesdato og producentoplysninger, tilgængelig diskplads på C-drevet, aktive processer, registrerede brugernavne og volumendetaljer. Når de er indsamlet, overføres disse oplysninger til en kommando-og-kontrol-server (C2). Interessant nok adskiller malwaren sig ved at bruge strengen "3rd_eye" til at signalere sin tilstedeværelse til C2-serveren.

ThirdEye er muligvis ikke blevet brugt i naturen

I øjeblikket er der ingen konkrete beviser, der tyder på, at ThirdEye er blevet implementeret i scenarier i den virkelige verden. Men i betragtning af, at størstedelen af ThirdEye-relaterede artefakter blev uploadet til VirusTotal fra Rusland, er det sandsynligt, at de ondsindede aktiviteter er rettet mod russisktalende organisationer.

Fortinet-forskere kommenterede og udtalte, at selvom denne malware ikke er klassificeret som sofistikeret, er den lavet til at stjæle forskellige oplysninger fra kompromitterede maskiner, som derefter kan tjene som grundlag for yderligere angreb. De tilføjede, at de indsamlede data er "værdifulde for at forstå og indsnævre potentielle mål."

Samtidig bliver trojaniserede installatører til den meget populære Super Mario Bros-videospilsfranchise, fundet på mistænkelige torrent-websteder, ansat til at distribuere cryptocurrency-minearbejdere, såvel som en C#-baseret open source informationstyver ved navn Umbral, som eksfiltrerer specifikke data ved hjælp af Discord Webhooks.

Desuden er brugere af videospil blevet mål for Python-baseret ransomware og en fjernadgangstrojan kaldet SeroXen. Denne trojaner udnytter en kommerciel batchfil-obfuscation-motor kaldet ScrubCrypt (også kendt som BatCloak) for at undgå detektion. Indikationer tyder på, at personer forbundet med udviklingen af SeroXen også har bidraget til skabelsen af ScrubCrypt.

Denne malware blev oprindeligt annonceret til salg på et clearnet-websted registreret den 27. marts 2023, men blev efterfølgende lukket ned i slutningen af maj. Siden da er det blevet promoveret på forskellige platforme, herunder Discord, TikTok, Twitter og YouTube. En cracket version af SeroXen er nu dukket op på kriminelle fora.