Información del sistema de raspaduras de ThirdEye Stealer

Un nuevo malware de robo de información llamado ThirdEye ha surgido en la naturaleza, capaz de extraer datos confidenciales de sistemas comprometidos. Fortinet FortiGuard Labs hizo este descubrimiento cuando tropezó con el malware en un archivo ejecutable que se hacía pasar por un documento PDF con nombre ruso titulado "CMK Правила оформления больничных листов.pdf.exe", que se traduce como "Reglas de CMK para emitir licencias por enfermedad.pdf". exe."

El método de entrega de este malware sigue siendo incierto, pero las características del engaño sugieren su utilización en un esquema de phishing. La instancia inicial de ThirdEye se cargó en VirusTotal el 4 de abril de 2023 y mostró menos funciones en comparación con iteraciones posteriores.

Al igual que otros programas maliciosos de este tipo, este ladrón de datos en evolución posee la capacidad de recopilar metadatos del sistema, como la fecha de lanzamiento del BIOS y la información del fabricante, el espacio disponible en el disco en la unidad C, los procesos activos, los nombres de usuario registrados y los detalles del volumen. Una vez recopilada, esta información se transmite a un servidor de comando y control (C2). Curiosamente, el malware se distingue por utilizar la cadena "3rd_eye" para señalar su presencia al servidor C2.

Es posible que ThirdEye no se haya utilizado en la naturaleza

Actualmente, no hay evidencia concreta que sugiera que ThirdEye se haya implementado en escenarios del mundo real. Sin embargo, teniendo en cuenta que la mayoría de los artefactos relacionados con ThirdEye se cargaron en VirusTotal desde Rusia, es probable que las actividades maliciosas estén dirigidas a organizaciones de habla rusa.

Los investigadores de Fortinet comentaron, afirmando que aunque este malware no está clasificado como sofisticado, está diseñado para robar información diversa de las máquinas comprometidas, que luego puede servir como base para futuros ataques. Agregaron que los datos recopilados son "valiosos para comprender y reducir los objetivos potenciales".

Simultáneamente, los instaladores troyanos para la popular franquicia de videojuegos Super Mario Bros, que se encuentran en sitios web de torrents sospechosos, se están empleando para distribuir mineros de criptomonedas, así como un ladrón de información de código abierto basado en C# llamado Umbral, que extrae datos específicos usando Discord. Webhooks.

Además, los usuarios de videojuegos se han convertido en objetivo del ransomware basado en Python y de un troyano de acceso remoto llamado SeroXen. Este troyano aprovecha un motor comercial de ofuscación de archivos por lotes llamado ScrubCrypt (también conocido como BatCloak) para eludir la detección. Las indicaciones sugieren que las personas asociadas con el desarrollo de SeroXen también han contribuido a la creación de ScrubCrypt.

Este malware se anunció inicialmente para la venta en un sitio web de clearnet registrado el 27 de marzo de 2023, pero posteriormente se cerró a fines de mayo. Desde entonces, se ha promocionado en varias plataformas, incluidas Discord, TikTok, Twitter y YouTube. Una versión descifrada de SeroXen ahora ha aparecido en foros criminales.