ThirdEye Stealer zdrapuje informacje systemowe

W sieci pojawił się nowy, kradnący informacje złośliwy program o nazwie ThirdEye, zdolny do wydobywania poufnych danych z zaatakowanych systemów. Laboratoria Fortinet FortiGuard dokonały tego odkrycia, gdy natknęły się na złośliwe oprogramowanie w pliku wykonywalnym udającym dokument PDF o rosyjskiej nazwie zatytułowany „CMK Правила оформления больничных листов.pdf.exe”, co oznacza „Zasady CMK dotyczące wystawiania zwolnień lekarskich.pdf”. exe."

Metoda dostarczania tego złośliwego oprogramowania pozostaje niepewna, ale charakterystyka oszustwa sugeruje jego wykorzystanie w schemacie phishingowym. Pierwsza instancja ThirdEye została przesłana do VirusTotal 4 kwietnia 2023 r. i zawierała mniej funkcji w porównaniu z późniejszymi iteracjami.

Podobnie jak inne złośliwe oprogramowanie tego rodzaju, ten ewoluujący złodziej danych ma możliwość zbierania metadanych systemowych, takich jak data wydania BIOS-u i informacje o producencie, dostępne miejsce na dysku C, aktywne procesy, zarejestrowane nazwy użytkowników i szczegóły woluminu. Po zebraniu informacje te są przesyłane do serwera dowodzenia i kontroli (C2). Co ciekawe, złośliwe oprogramowanie wyróżnia się tym, że używa ciągu znaków „3rd_eye” do zasygnalizowania swojej obecności serwerowi C2.

Trzecie oko mogło nie być używane w środowisku naturalnym

Obecnie nie ma konkretnych dowodów sugerujących, że ThirdEye zostało wdrożone w rzeczywistych scenariuszach. Jednak biorąc pod uwagę, że większość artefaktów związanych z ThirdEye została przesłana do VirusTotal z Rosji, prawdopodobne jest, że celem złośliwych działań są organizacje rosyjskojęzyczne.

Badacze Fortinet skomentowali, stwierdzając, że chociaż to złośliwe oprogramowanie nie jest sklasyfikowane jako wyrafinowane, ma na celu kradzież różnych informacji z zaatakowanych maszyn, które następnie mogą posłużyć jako podstawa do dalszych ataków. Dodali, że zebrane dane są „cenne dla zrozumienia i zawężenia potencjalnych celów”.

Jednocześnie trojanizowane instalatory bardzo popularnej serii gier wideo Super Mario Bros, znalezione na podejrzanych stronach z torrentami, są wykorzystywane do dystrybucji kopaczy kryptowalut, a także opartego na języku C# narzędzia do kradzieży informacji o otwartym kodzie źródłowym o nazwie Umbral, które eksfiltruje określone dane za pomocą Discord Haki internetowe.

Ponadto użytkownicy gier wideo stali się celem oprogramowania ransomware opartego na języku Python oraz trojana zdalnego dostępu o nazwie SeroXen. Trojan ten wykorzystuje komercyjny mechanizm zaciemniania plików wsadowych o nazwie ScrubCrypt (znany również jako BatCloak), aby uniknąć wykrycia. Wszystko wskazuje na to, że osoby związane z rozwojem SeroXen również przyczyniły się do powstania ScrubCrypt.

To złośliwe oprogramowanie było początkowo reklamowane do sprzedaży na stronie internetowej clearnet zarejestrowanej 27 marca 2023 r., ale zostało następnie zamknięte pod koniec maja. Od tego czasu jest promowany na różnych platformach, w tym na Discordzie, TikToku, Twitterze i YouTube. Złamana wersja SeroXen pojawiła się teraz na forach przestępczych.