ThirdEye Stealer schraapt systeeminformatie

Een nieuwe malware voor het stelen van informatie, ThirdEye genaamd, is in het wild opgedoken en in staat om gevoelige gegevens uit gecompromitteerde systemen te extraheren. Fortinet FortiGuard Labs deed deze ontdekking toen ze de malware tegenkwamen in een uitvoerbaar bestand dat zich voordeed als een Russisch genoemd pdf-document met de titel "CMK Правила оформления больничных листов.pdf.exe", wat zich vertaalt naar "CMK-regels voor het uitgeven van ziekteverlof.pdf. ex."

De leveringsmethode voor deze malware blijft onzeker, maar de kenmerken van de misleiding suggereren het gebruik ervan in een phishing-schema. Het eerste exemplaar van ThirdEye werd op 4 april 2023 geüpload naar VirusTotal en vertoonde minder functies in vergelijking met latere iteraties.

Net als andere malware in zijn soort, beschikt deze evoluerende datadief over de mogelijkheid om systeemmetadata te verzamelen, zoals BIOS-releasedatum en fabrikantinformatie, beschikbare schijfruimte op de C-schijf, actieve processen, geregistreerde gebruikersnamen en volumedetails. Eenmaal verzameld, wordt deze informatie verzonden naar een command-and-control (C2) server. Interessant genoeg onderscheidt de malware zich door de tekenreeks "3rd_eye" te gebruiken om zijn aanwezigheid aan de C2-server aan te geven.

ThirdEye is mogelijk niet in het wild gebruikt

Momenteel is er geen concreet bewijs dat ThirdEye is ingezet in real-world scenario's. Gezien het feit dat de meeste ThirdEye-gerelateerde artefacten vanuit Rusland naar VirusTotal zijn geüpload, is het echter waarschijnlijk dat de kwaadaardige activiteiten gericht zijn op Russisch sprekende organisaties.

Fortinet-onderzoekers merkten op dat hoewel deze malware niet als geavanceerd is geclassificeerd, hij is gemaakt om verschillende informatie van gecompromitteerde machines te stelen, die vervolgens als basis voor verdere aanvallen kan dienen. Ze voegden eraan toe dat de verzamelde gegevens "waardevol zijn voor het begrijpen en beperken van potentiële doelen".

Tegelijkertijd worden getrojaniseerde installatieprogramma's voor de zeer populaire Super Mario Bros-videogamefranchise, gevonden op verdachte torrent-websites, gebruikt om cryptocurrency-mijnwerkers te verspreiden, evenals een op C # gebaseerde open-source informatie-dief genaamd Umbral, die specifieke gegevens exfiltreert met behulp van Discord Webhooks.

Bovendien zijn gebruikers van videogames het doelwit geworden van op Python gebaseerde ransomware en een trojan voor externe toegang genaamd SeroXen. Deze trojan maakt gebruik van een commerciële engine voor het verduisteren van batchbestanden genaamd ScrubCrypt (ook bekend als BatCloak) om detectie te omzeilen. Er zijn aanwijzingen dat personen die betrokken zijn bij de ontwikkeling van SeroXen ook hebben bijgedragen aan de totstandkoming van ScrubCrypt.

Deze malware werd aanvankelijk te koop aangeboden op een clearnet-website die op 27 maart 2023 was geregistreerd, maar werd vervolgens eind mei stopgezet. Sindsdien is het gepromoot op verschillende platforms, waaronder Discord, TikTok, Twitter en YouTube. Een gekraakte versie van SeroXen is nu opgedoken op criminele fora.