ThirdEye Stealer 抓取系统信息
一种名为 ThirdEye 的新型信息窃取恶意软件已经出现,能够从受感染的系统中提取敏感数据。 Fortinet FortiGuard Labs 偶然发现了一个可执行文件中的恶意软件,该文件伪装成俄语命名的 PDF 文档,标题为“CMK Правила оформления больничных листов.pdf.exe”,翻译过来就是“发放病假的 CMK Rules.pdf”,从而发现了这一点。 EXE文件。”
该恶意软件的传播方法仍不确定,但欺骗的特征表明它被用于网络钓鱼计划。 ThirdEye 的初始实例于 2023 年 4 月 4 日上传到 VirusTotal,与后来的迭代相比,展示的功能较少。
与其他同类恶意软件类似,这种不断发展的数据窃贼能够收集系统元数据,例如 BIOS 发布日期和制造商信息、C 驱动器上的可用磁盘空间、活动进程、注册用户名和卷详细信息。一旦收集完毕,该信息就会传输到命令与控制 (C2) 服务器。有趣的是,该恶意软件通过利用字符串“3rd_eye”向 C2 服务器表明其存在来区分自己。
ThirdEye 可能尚未在野外使用过
目前,没有具体证据表明 ThirdEye 已部署在现实场景中。然而,考虑到大多数与 ThirdEye 相关的工件都是从俄罗斯上传到 VirusTotal 的,因此恶意活动很可能针对的是俄语组织。
Fortinet 研究人员评论说,尽管这种恶意软件没有被归类为复杂的,但它的目的是从受感染的机器上窃取各种信息,然后为进一步的攻击奠定基础。他们补充说,收集到的数据“对于理解和缩小潜在目标很有价值”。
与此同时,在可疑的 torrent 网站上发现的广受欢迎的《超级马里奥兄弟》视频游戏系列的木马安装程序正被用来分发加密货币挖矿程序,以及名为 Umbral 的基于 C# 的开源信息窃取程序,该程序使用 Discord 窃取特定数据网络钩子。
此外,视频游戏用户已成为基于 Python 的勒索软件和名为 SeroXen 的远程访问木马的目标。该木马利用名为 ScrubCrypt(也称为 BatCloak)的商业批处理文件混淆引擎来逃避检测。有迹象表明,与 SeroXen 开发相关的个人也为 ScrubCrypt 的创建做出了贡献。
该恶意软件最初在 2023 年 3 月 27 日注册的 Clearnet 网站上进行销售广告,但随后于 5 月下旬被关闭。此后,它在 Discord、TikTok、Twitter 和 YouTube 等多个平台上进行了推广。 SeroXen 的破解版现已出现在犯罪论坛上。
