ThirdEye Stealer Scrapes Systeminformationen

Eine neuartige, Informationen stehlende Malware namens ThirdEye ist in freier Wildbahn aufgetaucht und kann sensible Daten aus kompromittierten Systemen extrahieren. Fortinet FortiGuard Labs machte diese Entdeckung, als sie auf die Malware in einer ausführbaren Datei stießen, die sich als russisch benanntes PDF-Dokument mit dem Titel „CMK Правила оформления больничных листов.pdf.exe“ ausgab, was übersetzt „CMK Rules for issuing sick leaves.pdf“ bedeutet. exe."

Die Art der Übermittlung dieser Malware bleibt ungewiss, aber die Merkmale der Täuschung deuten darauf hin, dass sie in einem Phishing-Programm eingesetzt wird. Die erste Instanz von ThirdEye wurde am 4. April 2023 auf VirusTotal hochgeladen und wies im Vergleich zu späteren Iterationen weniger Funktionen auf.

Ähnlich wie andere Malware dieser Art verfügt dieser sich entwickelnde Datendieb über die Fähigkeit, Systemmetadaten zu sammeln, wie z. B. BIOS-Veröffentlichungsdatum und Herstellerinformationen, verfügbaren Speicherplatz auf dem Laufwerk C, aktive Prozesse, registrierte Benutzernamen und Volume-Details. Nach der Erfassung werden diese Informationen an einen Command-and-Control-Server (C2) übertragen. Interessanterweise zeichnet sich die Malware dadurch aus, dass sie die Zeichenfolge „3rd_eye“ verwendet, um dem C2-Server ihre Anwesenheit zu signalisieren.

ThirdEye wurde möglicherweise nicht in freier Wildbahn verwendet

Derzeit gibt es keine konkreten Beweise dafür, dass ThirdEye in realen Szenarien eingesetzt wurde. Wenn man jedoch bedenkt, dass die meisten ThirdEye-bezogenen Artefakte aus Russland auf VirusTotal hochgeladen wurden, ist es wahrscheinlich, dass die böswilligen Aktivitäten auf russischsprachige Organisationen abzielen.

Forscher von Fortinet gaben an, dass diese Malware zwar nicht als hochentwickelt eingestuft wird, aber dazu dient, verschiedene Informationen von kompromittierten Computern zu stehlen, die dann als Grundlage für weitere Angriffe dienen können. Sie fügten hinzu, dass die gesammelten Daten „wertvoll für das Verständnis und die Eingrenzung potenzieller Ziele“ seien.

Gleichzeitig werden trojanisierte Installationsprogramme für das weithin beliebte Videospiel-Franchise Super Mario Bros, die auf verdächtigen Torrent-Websites zu finden sind, eingesetzt, um Kryptowährungs-Miner zu verbreiten, sowie ein C#-basierter Open-Source-Informationsdiebstahler namens Umbral, der mithilfe von Discord bestimmte Daten exfiltriert Webhooks.

Darüber hinaus sind Benutzer von Videospielen zur Zielscheibe für Python-basierte Ransomware und einen Fernzugriffstrojaner namens SeroXen geworden. Dieser Trojaner nutzt eine kommerzielle Batchdatei-Verschleierungs-Engine namens ScrubCrypt (auch bekannt als BatCloak), um der Entdeckung zu entgehen. Es gibt Hinweise darauf, dass Personen, die mit der Entwicklung von SeroXen in Verbindung stehen, auch zur Entwicklung von ScrubCrypt beigetragen haben.

Diese Malware wurde ursprünglich auf einer am 27. März 2023 registrierten Clearnet-Website zum Verkauf angeboten, später jedoch Ende Mai geschlossen. Seitdem wurde es auf verschiedenen Plattformen beworben, darunter Discord, TikTok, Twitter und YouTube. In kriminellen Foren ist nun eine gecrackte Version von SeroXen aufgetaucht.