ThirdEye Stealer skrapar systeminformation

En ny skadlig programvara som stjäl information vid namn ThirdEye har dykt upp i det vilda, som kan extrahera känslig data från komprometterade system. Fortinet FortiGuard Labs gjorde denna upptäckt när de snubblade över skadlig programvara i en körbar fil som utger sig för att vara ett ryskt namngivet PDF-dokument med titeln "CMK Правила оформления больничных листов.pdf.exe", vilket översätts till "CMpK Rules for leave.dsfsfsing. exe."

Leveransmetoden för denna skadliga programvara är fortfarande osäker, men egenskaperna hos bedrägeriet tyder på att det används i ett nätfiskesystem. Den första instansen av ThirdEye laddades upp till VirusTotal den 4 april 2023 och visade färre funktioner jämfört med senare iterationer.

I likhet med andra skadliga program i sitt slag har denna datatjuv i utveckling förmågan att samla in systemmetadata, såsom BIOS releasedatum och tillverkarinformation, tillgängligt diskutrymme på C-enheten, aktiva processer, registrerade användarnamn och volymdetaljer. När den väl har samlats in överförs denna information till en kommando-och-kontroll-server (C2). Intressant nog utmärker sig skadlig programvara genom att använda strängen "3rd_eye" för att signalera sin närvaro till C2-servern.

ThirdEye kanske inte har använts i det vilda

För närvarande finns det inga konkreta bevis som tyder på att ThirdEye har distribuerats i verkliga scenarier. Men med tanke på att majoriteten av ThirdEye-relaterade artefakter laddades upp till VirusTotal från Ryssland, är det troligt att de skadliga aktiviteterna riktar sig till rysktalande organisationer.

Fortinets forskare kommenterade och menade att även om denna skadliga programvara inte klassificeras som sofistikerad, är den gjord för att stjäla olika information från komprometterade maskiner, som sedan kan fungera som en grund för ytterligare attacker. De tillade att den insamlade informationen är "värdefull för att förstå och begränsa potentiella mål."

Samtidigt används trojaniserade installatörer för den mycket populära Super Mario Bros-videospelsserien, som finns på misstänkta torrentwebbplatser, för att distribuera gruvarbetare för kryptovaluta, såväl som en C#-baserad öppen källkodsstjälare vid namn Umbral, som exfiltrerar specifik data med hjälp av Discord Webhooks.

Dessutom har användare av videospel blivit måltavlor för Python-baserad ransomware och en fjärråtkomsttrojan som heter SeroXen. Den här trojanen utnyttjar en kommersiell batchfil-obfuskeringsmotor som heter ScrubCrypt (även känd som BatCloak) för att undvika upptäckt. Indikationer tyder på att individer associerade med utvecklingen av SeroXen också har bidragit till skapandet av ScrubCrypt.

Denna skadliga programvara annonserades ursprungligen till försäljning på en clearnet-webbplats som registrerades den 27 mars 2023, men stängdes sedan av i slutet av maj. Sedan dess har det marknadsförts på olika plattformar inklusive Discord, TikTok, Twitter och YouTube. En knäckt version av SeroXen har nu dykt upp på kriminella forum.