ThirdEye Stealer がシステム情報をスクレイピング

ThirdEye という名前の新しい情報窃取マルウェアが出現し、侵害されたシステムから機密データを抽出できます。フォーティネット FortiGuard Labs は、「CMK Правила оформления больничных листов.pdf.exe」というロシア語の名前の PDF ドキュメントを装った実行可能ファイル内でマルウェアを発見したときにこの発見をしました。 EXE。"

このマルウェアの配信方法は依然として不明ですが、欺瞞の特徴はフィッシング詐欺での利用を示唆しています。 ThirdEye の最初のインスタンスは、2023 年 4 月 4 日に VirusTotal にアップロードされましたが、その後のイテレーションと比較して機能が少なくなっています。

他の同種のマルウェアと同様に、この進化するデータ窃盗犯は、BIOS のリリース日や製造元情報、C ドライブ上の利用可能なディスク容量、アクティブなプロセス、登録されているユーザー名、ボリュームの詳細などのシステム メタデータを収集する機能を備えています。この情報は収集されると、コマンドアンドコントロール (C2) サーバーに送信されます。興味深いことに、このマルウェアは文字列「3rd_eye」を利用して自身の存在を C2 サーバーに知らせることでそれ自体を区別します。

ThirdEye は実際には使用されていない可能性があります

現時点では、ThirdEye が現実世界のシナリオに導入されたことを示唆する具体的な証拠はありません。ただし、ThirdEye 関連のアーティファクトの大部分がロシアから VirusTotal にアップロードされたことを考慮すると、悪意のある活動はロシア語を話す組織をターゲットにしている可能性があります。

フォーティネットの研究者らは、このマルウェアは高度なものとして分類されていないものの、侵害されたマシンからさまざまな情報を窃取するように作られており、さらなる攻撃の基盤として機能する可能性があるとコメントした。彼らは、収集されたデータは「潜在的なターゲットを理解し、絞り込むのに貴重である」と付け加えた。

同時に、不審な torrent Web サイトで見つかった、広く人気のあるスーパー マリオ ブラザーズ ビデオ ゲーム シリーズのトロイの木馬化されたインストーラーが、暗号通貨マイナーの配布に使用されているほか、Discord を使用して特定のデータを窃取する Umbral という名前の C# ベースのオープンソース情報スティーラーも配布されています。 Webhook。

さらに、ビデオ ゲームのユーザーは、Python ベースのランサムウェアや SeroXen と呼ばれるリモート アクセス トロイの木馬の標的になっています。このトロイの木馬は、ScrubCrypt (BatCloak とも呼ばれる) と呼ばれる商用バッチ ファイル難読化エンジンを利用して検出を逃れます。兆候は、SeroXen の開発に関係する個人が ScrubCrypt の作成にも貢献したことを示唆しています。

このマルウェアは当初、2023 年 3 月 27 日に登録されたクリアネット Web サイトで販売が宣伝されましたが、その後 5 月下旬に閉鎖されました。それ以来、Discord、TikTok、Twitter、YouTubeなどのさまざまなプラットフォームでプロモーションが行われてきました。 SeroXen のクラック版が犯罪フォーラムに登場しました。