ThirdEye Stealer соскребает системную информацию

В дикой природе появилось новое вредоносное ПО для кражи информации под названием ThirdEye, способное извлекать конфиденциальные данные из скомпрометированных систем. Лаборатория Fortinet FortiGuard Labs сделала это открытие, когда наткнулась на вредоносное ПО в исполняемом файле, выдающем себя за PDF-документ с русским названием «Правила оформления больничных листов CMK.pdf.exe», что переводится как «Правила CMK для выдачи больничных листков.pdf». Exe."

Способ доставки этого вредоносного ПО остается неясным, но характеристики обмана предполагают его использование в схеме фишинга. Первоначальный экземпляр ThirdEye был загружен на VirusTotal 4 апреля 2023 г., и в нем было меньше функций по сравнению с более поздними версиями.

Подобно другим вредоносным программам такого рода, этот развивающийся похититель данных обладает способностью собирать системные метаданные, такие как дата выпуска BIOS и информация о производителе, доступное место на диске C, активные процессы, зарегистрированные имена пользователей и сведения о томе. После сбора эта информация передается на сервер управления и контроля (C2). Интересно, что вредоносная программа отличается тем, что использует строку «3rd_eye», чтобы сигнализировать о своем присутствии серверу C2.

ThirdEye, возможно, не использовался в дикой природе

В настоящее время нет конкретных доказательств того, что ThirdEye был развернут в реальных сценариях. Однако, учитывая, что большинство артефактов, связанных с ThirdEye, были загружены на VirusTotal из России, вполне вероятно, что вредоносная активность нацелена на русскоязычные организации.

Исследователи Fortinet прокомментировали это, заявив, что, хотя это вредоносное ПО не классифицируется как сложное, оно предназначено для кражи различной информации со взломанных компьютеров, которая затем может служить основой для дальнейших атак. Они добавили, что собранные данные «ценны для понимания и сужения потенциальных целей».

В то же время троянизированные установщики широко популярной франшизы видеоигр Super Mario Bros, обнаруженные на подозрительных торрент-сайтах, используются для распространения майнеров криптовалюты, а также похититель информации с открытым исходным кодом на C# под названием Umbral, который извлекает определенные данные с помощью Discord. Вебхуки.

Более того, пользователи видеоигр стали мишенью для программ-вымогателей на основе Python и трояна удаленного доступа под названием SeroXen. Этот троян использует коммерческий механизм запутывания пакетных файлов под названием ScrubCrypt (также известный как BatCloak), чтобы избежать обнаружения. По имеющимся данным, люди, связанные с разработкой SeroXen, также внесли свой вклад в создание ScrubCrypt.

Это вредоносное ПО изначально рекламировалось для продажи на веб-сайте Clearnet, зарегистрированном 27 марта 2023 года, но впоследствии было закрыто в конце мая. С тех пор он продвигался на различных платформах, включая Discord, TikTok, Twitter и YouTube. Взломанная версия SeroXen появилась на криминальных форумах.