ThirdEye Stealer raspa informações do sistema

Um novo malware para roubo de informações chamado ThirdEye surgiu na natureza, capaz de extrair dados confidenciais de sistemas comprometidos. O Fortinet FortiGuard Labs fez essa descoberta quando se deparou com o malware em um arquivo executável que se passava por um documento PDF de nome russo intitulado "CMK Правила оформления больничных листов.pdf.exe", que se traduz em "Regras CMK para emitir licenças médicas.pdf". exe."

O método de entrega desse malware permanece incerto, mas as características do engano sugerem sua utilização em um esquema de phishing. A instância inicial do ThirdEye foi carregada no VirusTotal em 4 de abril de 2023, exibindo menos recursos em comparação com as iterações posteriores.

Semelhante a outros malwares desse tipo, esse ladrão de dados em evolução possui a capacidade de coletar metadados do sistema, como data de lançamento do BIOS e informações do fabricante, espaço em disco disponível na unidade C, processos ativos, nomes de usuários registrados e detalhes do volume. Uma vez coletadas, essas informações são transmitidas para um servidor de comando e controle (C2). Curiosamente, o malware se distingue por utilizar a string "3rd_eye" para sinalizar sua presença ao servidor C2.

ThirdEye pode não ter sido usado na natureza

Atualmente, não há evidências concretas que sugiram que o ThirdEye tenha sido implantado em cenários do mundo real. No entanto, considerando que a maioria dos artefatos relacionados ao ThirdEye foram carregados no VirusTotal da Rússia, é provável que as atividades maliciosas tenham como alvo organizações de língua russa.

Os pesquisadores da Fortinet comentaram, afirmando que, embora esse malware não seja classificado como sofisticado, ele é feito para roubar várias informações de máquinas comprometidas, que podem servir de base para novos ataques. Eles acrescentaram que os dados coletados são "valiosos para entender e restringir possíveis alvos".

Simultaneamente, instaladores trojanizados para a popular franquia de videogame Super Mario Bros, encontrados em sites de torrent suspeitos, estão sendo empregados para distribuir mineradores de criptomoedas, bem como um ladrão de informações de código aberto baseado em C# chamado Umbral, que exfiltra dados específicos usando o Discord Webhooks.

Além disso, os usuários de videogames se tornaram alvos de ransomware baseado em Python e um trojan de acesso remoto chamado SeroXen. Este trojan utiliza um mecanismo comercial de ofuscação de arquivos em lote chamado ScrubCrypt (também conhecido como BatCloak) para evitar a detecção. As indicações sugerem que indivíduos associados ao desenvolvimento do SeroXen também contribuíram para a criação do ScrubCrypt.

Este malware foi inicialmente anunciado para venda em um site clearnet registrado em 27 de março de 2023, mas foi posteriormente encerrado no final de maio. Desde então, foi promovido em várias plataformas, incluindo Discord, TikTok, Twitter e YouTube. Uma versão crackeada do SeroXen agora apareceu em fóruns criminais.