ThirdEye Stealer gratte les informations système

Un nouveau logiciel malveillant voleur d'informations nommé ThirdEye est apparu dans la nature, capable d'extraire des données sensibles de systèmes compromis. Fortinet FortiGuard Labs a fait cette découverte lorsqu'ils sont tombés sur le logiciel malveillant dans un fichier exécutable se faisant passer pour un document PDF nommé en russe intitulé "CMK Правила оформления больничных листов.pdf.exe", qui se traduit par "Règles CMK pour l'émission de congés de maladie.pdf. exe."

La méthode de livraison de ce malware reste incertaine, mais les caractéristiques de la tromperie suggèrent son utilisation dans un stratagème de phishing. L'instance initiale de ThirdEye a été téléchargée sur VirusTotal le 4 avril 2023, présentant moins de fonctionnalités par rapport aux itérations ultérieures.

Semblable à d'autres logiciels malveillants de ce type, ce voleur de données en évolution possède la capacité de collecter des métadonnées système, telles que la date de sortie du BIOS et les informations du fabricant, l'espace disque disponible sur le lecteur C, les processus actifs, les noms d'utilisateur enregistrés et les détails du volume. Une fois recueillies, ces informations sont transmises à un serveur de commande et de contrôle (C2). Fait intéressant, le logiciel malveillant se distingue en utilisant la chaîne "3rd_eye" pour signaler sa présence au serveur C2.

ThirdEye n'a peut-être pas été utilisé dans la nature

Actuellement, il n'y a aucune preuve concrète suggérant que ThirdEye a été déployé dans des scénarios réels. Cependant, étant donné que la majorité des artefacts liés à ThirdEye ont été téléchargés sur VirusTotal depuis la Russie, il est probable que les activités malveillantes ciblent des organisations russophones.

Les chercheurs de Fortinet ont commenté, déclarant que même si ce malware n'est pas classé comme sophistiqué, il est conçu pour voler diverses informations à partir de machines compromises, qui peuvent ensuite servir de base à d'autres attaques. Ils ont ajouté que les données collectées sont "précieuses pour comprendre et affiner les cibles potentielles".

Simultanément, des installateurs troyens pour la très populaire franchise de jeux vidéo Super Mario Bros, trouvés sur des sites Web de torrent suspects, sont utilisés pour distribuer des mineurs de crypto-monnaie, ainsi qu'un voleur d'informations open source basé sur C # nommé Umbral, qui exfiltre des données spécifiques à l'aide de Discord Webhooks.

De plus, les utilisateurs de jeux vidéo sont devenus la cible de rançongiciels basés sur Python et d'un cheval de Troie d'accès à distance appelé SeroXen. Ce cheval de Troie exploite un moteur commercial d'obfuscation de fichiers batch appelé ScrubCrypt (également connu sous le nom de BatCloak) pour échapper à la détection. Des indications suggèrent que des individus associés au développement de SeroXen ont également contribué à la création de ScrubCrypt.

Ce malware a été initialement annoncé à la vente sur un site Web clearnet enregistré le 27 mars 2023, mais a ensuite été fermé fin mai. Depuis lors, il a été promu sur diverses plateformes, notamment Discord, TikTok, Twitter et YouTube. Une version crackée de SeroXen a maintenant fait surface sur les forums criminels.