Πληροφορίες συστήματος ThirdEye Stealer Scrapes

Ένα νέο κακόβουλο λογισμικό που κλέβει πληροφορίες με το όνομα ThirdEye εμφανίστηκε στη φύση, ικανό να εξάγει ευαίσθητα δεδομένα από παραβιασμένα συστήματα. Η Fortinet FortiGuard Labs έκανε αυτή την ανακάλυψη όταν έπεσε πάνω στο κακόβουλο λογισμικό σε ένα εκτελέσιμο αρχείο που υποδυόταν ένα έγγραφο PDF με ρωσική ονομασία με τίτλο "CMK Правила оформления больничных листов.pdf.exe", που μεταφράζεται σε "Κανόνες CMK για την έκδοση αναρρωτικών αδειών.pdf. exe."

Η μέθοδος παράδοσης αυτού του κακόβουλου λογισμικού παραμένει αβέβαιη, αλλά τα χαρακτηριστικά της εξαπάτησης υποδηλώνουν τη χρησιμοποίησή του σε ένα σύστημα phishing. Η αρχική παρουσία του ThirdEye μεταφορτώθηκε στο VirusTotal στις 4 Απριλίου 2023, παρουσιάζοντας λιγότερα χαρακτηριστικά σε σύγκριση με μεταγενέστερες επαναλήψεις.

Παρόμοια με άλλα κακόβουλα προγράμματα αυτού του είδους, αυτός ο εξελισσόμενος κλέφτης δεδομένων έχει τη δυνατότητα να συλλέγει μεταδεδομένα συστήματος, όπως ημερομηνία κυκλοφορίας του BIOS και πληροφορίες κατασκευαστή, διαθέσιμο χώρο στο δίσκο στη μονάδα δίσκου C, ενεργές διεργασίες, καταχωρημένα ονόματα χρήστη και στοιχεία τόμου. Μόλις συγκεντρωθούν, αυτές οι πληροφορίες μεταδίδονται σε έναν διακομιστή εντολών και ελέγχου (C2). Είναι ενδιαφέρον ότι το κακόβουλο λογισμικό διακρίνεται χρησιμοποιώντας τη συμβολοσειρά "3rd_eye" για να σηματοδοτήσει την παρουσία του στον διακομιστή C2.

Το ThirdEye ενδέχεται να μην έχει χρησιμοποιηθεί στη φύση

Επί του παρόντος, δεν υπάρχουν συγκεκριμένα στοιχεία που να υποδηλώνουν ότι το ThirdEye έχει αναπτυχθεί σε σενάρια πραγματικού κόσμου. Ωστόσο, λαμβάνοντας υπόψη ότι η πλειονότητα των τεχνουργημάτων που σχετίζονται με το ThirdEye μεταφορτώθηκαν στο VirusTotal από τη Ρωσία, είναι πιθανό ότι οι κακόβουλες δραστηριότητες στοχεύουν ρωσόφωνους οργανισμούς.

Οι ερευνητές της Fortinet σχολίασαν, δηλώνοντας ότι, παρόλο που αυτό το κακόβουλο λογισμικό δεν έχει ταξινομηθεί ως εξελιγμένο, έχει σχεδιαστεί για να κλέβει διάφορες πληροφορίες από παραβιασμένα μηχανήματα, τα οποία μπορούν στη συνέχεια να χρησιμεύσουν ως βάση για περαιτέρω επιθέσεις. Πρόσθεσαν ότι τα δεδομένα που συλλέχθηκαν είναι «πολύτιμα για την κατανόηση και τον περιορισμό πιθανών στόχων».

Ταυτόχρονα, trojanized installers για το ευρέως δημοφιλές franchise βιντεοπαιχνιδιών Super Mario Bros, που βρίσκονται σε ύποπτους ιστότοπους torrent, χρησιμοποιούνται για τη διανομή εξόρυξης κρυπτονομισμάτων, καθώς και ένας κλέφτης πληροφοριών ανοιχτού κώδικα που βασίζεται σε C#, ονόματι Umbral, ο οποίος διεισδύει συγκεκριμένα δεδομένα χρησιμοποιώντας το Discord Webhooks.

Επιπλέον, οι χρήστες βιντεοπαιχνιδιών έχουν γίνει στόχοι ransomware που βασίζεται σε Python και ενός trojan απομακρυσμένης πρόσβασης που ονομάζεται SeroXen. Αυτός ο trojan αξιοποιεί μια εμπορική μηχανή συσκότισης αρχείων δέσμης που ονομάζεται ScrubCrypt (επίσης γνωστή ως BatCloak) για να αποφύγει τον εντοπισμό. Οι ενδείξεις υποδηλώνουν ότι άτομα που σχετίζονται με την ανάπτυξη του SeroXen συνέβαλαν επίσης στη δημιουργία του ScrubCrypt.

Αυτό το κακόβουλο λογισμικό αρχικά διαφημίστηκε προς πώληση σε έναν ιστότοπο του clearnet που καταχωρήθηκε στις 27 Μαρτίου 2023, αλλά στη συνέχεια τερματίστηκε στα τέλη Μαΐου. Έκτοτε, έχει προωθηθεί σε διάφορες πλατφόρμες, όπως το Discord, το TikTok, το Twitter και το YouTube. Μια σπασμένη έκδοση του SeroXen έχει πλέον εμφανιστεί σε εγκληματικά φόρουμ.