ThirdEye Stealer skraper systeminformasjon

En ny skadelig programvare som stjeler informasjon, kalt ThirdEye, har dukket opp i naturen, i stand til å trekke ut sensitive data fra kompromitterte systemer. Fortinet FortiGuard Labs gjorde denne oppdagelsen da de snublet over skadelig programvare i en kjørbar fil som utgir seg for å være et russisk-navngitt PDF-dokument med tittelen "CMK Правила оформления больничных листов.pdf.exe", som kan oversettes til "CMpK Rules for leave. exe."

Leveringsmåten for denne skadelige programvaren er fortsatt usikker, men egenskapene til bedraget antyder at det brukes i et phishing-opplegg. Den første forekomsten av ThirdEye ble lastet opp til VirusTotal 4. april 2023, og viste færre funksjoner sammenlignet med senere iterasjoner.

I likhet med annen skadelig programvare av sitt slag, har denne utviklende datatyven evnen til å samle inn systemmetadata, som BIOS utgivelsesdato og produsentinformasjon, tilgjengelig diskplass på C-stasjonen, aktive prosesser, registrerte brukernavn og volumdetaljer. Når den er samlet, blir denne informasjonen overført til en kommando-og-kontroll-server (C2). Interessant nok skiller skadevaren seg ut ved å bruke strengen "3rd_eye" for å signalisere sin tilstedeværelse til C2-serveren.

ThirdEye kan ikke ha blitt brukt i naturen

Foreløpig er det ingen konkrete bevis som tyder på at ThirdEye har blitt distribuert i virkelige scenarier. Men med tanke på at flertallet av ThirdEye-relaterte artefakter ble lastet opp til VirusTotal fra Russland, er det sannsynlig at de ondsinnede aktivitetene er rettet mot russisktalende organisasjoner.

Fortinet-forskere kommenterte og uttalte at selv om denne skadevaren ikke er klassifisert som sofistikert, er den laget for å stjele forskjellig informasjon fra kompromitterte maskiner, som deretter kan tjene som grunnlag for ytterligere angrep. De la til at de innsamlede dataene er "verdifulle for å forstå og begrense potensielle mål."

Samtidig blir trojaniserte installatører for den populære Super Mario Bros-videospillserien, funnet på mistenkelige torrent-nettsteder, brukt til å distribuere kryptovalutagruvearbeidere, samt en C#-basert åpen kildekode-informasjonstyver kalt Umbral, som eksfiltrerer spesifikke data ved hjelp av Discord Webhooks.

Dessuten har brukere av videospill blitt mål for Python-basert løsepengevare og en ekstern tilgangstrojan kalt SeroXen. Denne trojaneren utnytter en kommersiell batchfil-obfuskeringsmotor kalt ScrubCrypt (også kjent som BatCloak) for å unngå deteksjon. Indikasjoner tyder på at individer knyttet til utviklingen av SeroXen også har bidratt til etableringen av ScrubCrypt.

Denne skadevare ble opprinnelig annonsert for salg på et clearnet-nettsted registrert 27. mars 2023, men ble deretter stengt i slutten av mai. Siden den gang har den blitt promotert på forskjellige plattformer, inkludert Discord, TikTok, Twitter og YouTube. En sprukket versjon av SeroXen har nå dukket opp på kriminelle fora.