„ThirdEye Stealer“ nubraukia sistemos informaciją

Laukinėje gamtoje atsirado nauja informaciją vagianti kenkėjiška programa, pavadinta ThirdEye, galinti išgauti neskelbtinus duomenis iš pažeistų sistemų. „Fortinet FortiGuard Labs“ padarė šį atradimą, kai aptiko kenkėjišką programą vykdomajame faile, vaizduojančiame rusiško pavadinimo PDF dokumentą, pavadintą „CMK Правила оформления больничных листов.pdf.exe“, o tai reiškia, kad iss.pdfu pjautuvo taisyklės. exe“.

Šios kenkėjiškos programos pristatymo būdas lieka neaiškus, tačiau apgaulės ypatybės rodo, kad ji naudojama sukčiavimo schemoje. Pradinis „ThirdEye“ egzempliorius buvo įkeltas į „VirusTotal“ 2023 m. balandžio 4 d., kuriame yra mažiau funkcijų, palyginti su vėlesnėmis iteracijomis.

Panašiai kaip ir kitos tokio pobūdžio kenkėjiškos programos, šis besivystantis duomenų vagis turi galimybę rinkti sistemos metaduomenis, pvz., BIOS išleidimo datą ir informaciją apie gamintoją, laisvą vietą diske C diske, aktyvius procesus, registruotus naudotojų vardus ir išsamią tomo informaciją. Surinkus šią informaciją, ji perduodama komandų ir valdymo (C2) serveriui. Įdomu tai, kad kenkėjiška programa išsiskiria tuo, kad naudoja eilutę „3rd_eye“, kad praneštų apie savo buvimą C2 serveriui.

„ThirdEye“ galbūt nebuvo naudojama laukinėje gamtoje

Šiuo metu nėra konkrečių įrodymų, leidžiančių manyti, kad „ThirdEye“ buvo įdiegta realaus pasaulio scenarijuose. Tačiau atsižvelgiant į tai, kad dauguma su „ThirdEye“ susijusių artefaktų į „VirusTotal“ buvo įkelti iš Rusijos, tikėtina, kad kenkėjiška veikla nukreipta į rusakalbes organizacijas.

„Fortinet“ tyrėjai komentavo, teigdami, kad nors ši kenkėjiška programa nėra klasifikuojama kaip sudėtinga, ji yra sukurta tam, kad pavogtų įvairią informaciją iš pažeistų mašinų, o tai gali būti tolesnių atakų pagrindas. Jie pridūrė, kad surinkti duomenys yra „vertingi norint suprasti ir susiaurinti galimus tikslus“.

Tuo pat metu plačiai populiarios Super Mario Bros vaizdo žaidimų franšizės, rastos įtartinose torrentų svetainėse, diegimo programos yra naudojamos kriptovaliutų kasykloms platinti, taip pat C# pagrindu veikiantis atvirojo kodo informacijos vagis, pavadintas Umbral, kuris išfiltruoja konkrečius duomenis naudodamas Discord. Webhooks.

Be to, vaizdo žaidimų vartotojai tapo „Python“ pagrindu veikiančių išpirkos programų ir nuotolinės prieigos Trojos arklys „SeroXen“ taikiniais. Šis Trojos arklys naudoja komercinį paketinių failų užtemdymo variklį, vadinamą ScrubCrypt (taip pat žinomas kaip BatCloak), kad išvengtų aptikimo. Požymiai rodo, kad asmenys, susiję su SeroXen kūrimu, taip pat prisidėjo prie ScrubCrypt kūrimo.

Iš pradžių ši kenkėjiška programa buvo reklamuojama parduodama „clearnet“ svetainėje, užregistruotoje 2023 m. kovo 27 d., tačiau vėliau buvo uždaryta gegužės pabaigoje. Nuo tada jis buvo reklamuojamas įvairiose platformose, įskaitant „Discord“, „TikTok“, „Twitter“ ir „YouTube“. Nulaužta SeroXen versija dabar pasirodė kriminaliniuose forumuose.