A ThirdEye Stealer összegyűjti a rendszerinformációkat

A ThirdEye névre keresztelt új információlopó rosszindulatú program jelent meg a vadonban, amely képes érzékeny adatokat kinyerni a feltört rendszerekből. A Fortinet FortiGuard Labs tette ezt a felfedezést, amikor rábukkant a rosszindulatú programra egy végrehajtható fájlban, amely orosz nevű PDF-dokumentumnak tűnt "CMK Правила оформления больничных листов.pdf.exe", ami a következőt jelenti: "CMK Rules for leaves. iss.pdfu". alkalmazás."

Ennek a kártevőnek a kézbesítési módja továbbra is bizonytalan, de a megtévesztés jellemzői arra utalnak, hogy adathalász sémában használják fel. A ThirdEye kezdeti példányát 2023. április 4-én töltötték fel a VirusTotalra, amely kevesebb funkciót tartalmaz a későbbi iterációkhoz képest.

Hasonlóan a többi rosszindulatú programhoz, ez a fejlődő adattolvaj képes rendszer-metaadatokat gyűjteni, például a BIOS kiadási dátumát és a gyártó adatait, a C-meghajtón rendelkezésre álló lemezterületet, az aktív folyamatokat, a regisztrált felhasználóneveket és a kötet részleteit. Az összegyűjtést követően ezek az információk egy parancs- és vezérlőkiszolgálóhoz (C2) kerül továbbításra. Érdekes módon a rosszindulatú program azzal különbözteti meg magát, hogy a "3rd_eye" karakterláncot használja, hogy jelezze jelenlétét a C2 szerver felé.

Lehet, hogy a ThirdEye-t nem használták a vadonban

Jelenleg nincs konkrét bizonyíték arra, hogy a ThirdEye-t valós forgatókönyvekben alkalmazták volna. Figyelembe véve azonban, hogy a ThirdEye-hez kapcsolódó műtermékek többsége Oroszországból került fel a VirusTotalra, valószínű, hogy a rosszindulatú tevékenységek oroszul beszélő szervezeteket céloznak meg.

A Fortinet kutatói megjegyezték, hogy bár ez a kártevő nem minősül kifinomultnak, arra készült, hogy különféle információkat lopjon el a feltört gépekről, amelyek aztán további támadások alapjául szolgálhatnak. Hozzátették, hogy az összegyűjtött adatok "értékesek a lehetséges célpontok megértéséhez és leszűkítéséhez".

Ezzel egyidejűleg a gyanús torrentoldalakon talált, széles körben népszerű Super Mario Bros videojáték-franchise trójai telepítőit alkalmazzák a kriptovaluta bányászok terjesztésére, valamint egy Umbral nevű C#-alapú nyílt forráskódú információlopót, amely a Discord segítségével kiszűri a konkrét adatokat. Webhookok.

Ráadásul a videojátékok felhasználói a Python-alapú ransomware és a SeroXen nevű távoli hozzáférésű trójai célpontjaivá váltak. Ez a trójai a ScrubCrypt (más néven BatCloak) nevű kereskedelmi kötegfájl-elzavaró motort használja fel, hogy elkerülje az észlelést. A jelek arra utalnak, hogy a SeroXen fejlesztésével kapcsolatban álló egyének is hozzájárultak a ScrubCrypt létrehozásához.

Ezt a rosszindulatú programot eredetileg egy 2023. március 27-én regisztrált clearnet webhelyen hirdették eladásra, de ezt követően május végén leállították. Azóta különféle platformokon népszerűsítették, köztük a Discordon, a TikTokon, a Twitteren és a YouTube-on. A SeroXen feltört verziója most került elő a bűnügyi fórumokon.