ThirdEye Stealer raschia le informazioni di sistema

È emerso un nuovo malware per il furto di informazioni chiamato ThirdEye, in grado di estrarre dati sensibili da sistemi compromessi. I Fortinet FortiGuard Labs hanno fatto questa scoperta quando si sono imbattuti nel malware in un file eseguibile che fingeva di essere un documento PDF di nome russo intitolato "CMK Правила оформления больничных листов.pdf.exe", che si traduce in "Regole CMK per l'emissione di foglie per malattia.pdf. exe."

Il metodo di consegna di questo malware rimane incerto, ma le caratteristiche dell'inganno ne suggeriscono l'utilizzo in uno schema di phishing. L'istanza iniziale di ThirdEye è stata caricata su VirusTotal il 4 aprile 2023, presentando meno funzionalità rispetto alle iterazioni successive.

Simile ad altri malware del suo genere, questo ladro di dati in evoluzione possiede la capacità di raccogliere metadati di sistema, come la data di rilascio del BIOS e le informazioni sul produttore, lo spazio su disco disponibile sull'unità C, i processi attivi, i nomi utente registrati e i dettagli del volume. Una volta raccolte, queste informazioni vengono trasmesse a un server di comando e controllo (C2). È interessante notare che il malware si distingue utilizzando la stringa "3rd_eye" per segnalare la sua presenza al server C2.

ThirdEye potrebbe non essere stato utilizzato in natura

Attualmente, non ci sono prove concrete che suggeriscano che ThirdEye sia stato implementato in scenari del mondo reale. Tuttavia, considerando che la maggior parte degli artefatti relativi a ThirdEye sono stati caricati su VirusTotal dalla Russia, è probabile che le attività dannose stiano prendendo di mira le organizzazioni di lingua russa.

I ricercatori di Fortinet hanno commentato, affermando che anche se questo malware non è classificato come sofisticato, è fatto per rubare varie informazioni da macchine compromesse, che possono quindi servire come base per ulteriori attacchi. Hanno aggiunto che i dati raccolti sono "preziosi per comprendere e restringere i potenziali obiettivi".

Allo stesso tempo, gli installatori trojanizzati per il famosissimo franchise di videogiochi Super Mario Bros, trovati su siti Web torrent sospetti, vengono impiegati per distribuire minatori di criptovaluta, nonché un ladro di informazioni open source basato su C # chiamato Umbral, che esfiltra dati specifici utilizzando Discord Webhook.

Inoltre, gli utenti di videogiochi sono diventati obiettivi di ransomware basati su Python e di un trojan di accesso remoto chiamato SeroXen. Questo trojan sfrutta un motore di offuscamento di file batch commerciale chiamato ScrubCrypt (noto anche come BatCloak) per eludere il rilevamento. Le indicazioni suggeriscono che anche le persone associate allo sviluppo di SeroXen hanno contribuito alla creazione di ScrubCrypt.

Questo malware è stato inizialmente pubblicizzato per la vendita su un sito Web Clearnet registrato il 27 marzo 2023, ma è stato successivamente chiuso a fine maggio. Da allora, è stato promosso su varie piattaforme tra cui Discord, TikTok, Twitter e YouTube. Una versione crackata di SeroXen è ora emersa sui forum criminali.