ThirdEye Stealer 抓取系統信息
一種名為 ThirdEye 的新型信息竊取惡意軟件已經出現,能夠從受感染的系統中提取敏感數據。 Fortinet FortiGuard Labs 偶然發現了一個可執行文件中的惡意軟件,該文件偽裝成俄語命名的 PDF 文檔,標題為“CMK Правила оформления больничных листов.pdf.exe”,翻譯過來就是“發放病假的 CMK Rules.pdf”,從而發現了這一點。 EXE文件。”
該惡意軟件的傳播方法仍不確定,但欺騙的特徵表明它被用於網絡釣魚計劃。 ThirdEye 的初始實例於 2023 年 4 月 4 日上傳到 VirusTotal,與後來的迭代相比,展示的功能較少。
與其他同類惡意軟件類似,這種不斷發展的數據竊賊能夠收集系統元數據,例如 BIOS 發布日期和製造商信息、C 驅動器上的可用磁盤空間、活動進程、註冊用戶名和卷詳細信息。一旦收集完畢,該信息就會傳輸到命令與控制 (C2) 服務器。有趣的是,該惡意軟件通過利用字符串“3rd_eye”向 C2 服務器表明其存在來區分自己。
ThirdEye 可能尚未在野外使用過
目前,沒有具體證據表明 ThirdEye 已部署在現實場景中。然而,考慮到大多數與 ThirdEye 相關的工件都是從俄羅斯上傳到 VirusTotal 的,因此惡意活動很可能針對的是俄語組織。
Fortinet 研究人員評論說,儘管這種惡意軟件沒有被歸類為複雜的,但它的目的是從受感染的機器中竊取各種信息,然後為進一步的攻擊奠定基礎。他們補充說,收集到的數據“對於理解和縮小潛在目標很有價值”。
與此同時,在可疑的 torrent 網站上發現的廣受歡迎的《超級馬里奧兄弟》視頻遊戲系列的木馬安裝程序正被用來分發加密貨幣挖礦程序,以及名為 Umbral 的基於 C# 的開源信息竊取程序,該程序使用 Discord 竊取特定數據網絡鉤子。
此外,視頻遊戲用戶已成為基於 Python 的勒索軟件和名為 SeroXen 的遠程訪問木馬的目標。該木馬利用名為 ScrubCrypt(也稱為 BatCloak)的商業批處理文件混淆引擎來逃避檢測。有跡象表明,與 SeroXen 開發相關的個人也為 ScrubCrypt 的創建做出了貢獻。
該惡意軟件最初在 2023 年 3 月 27 日註冊的 Clearnet 網站上進行銷售廣告,但隨後於 5 月下旬被關閉。此後,它在 Discord、TikTok、Twitter 和 YouTube 等多個平台上進行了推廣。 SeroXen 的破解版現已出現在犯罪論壇上。
