Un ladrón de información basado en Windows previamente indocumentado llamado Tercer ojo ha sido descubierto en la naturaleza con capacidades para recolectar datos confidenciales de hosts infectados.
Fortinet FortiGuard Labs, que hizo el descubrimientodijo que encontró el malware en un ejecutable que se hizo pasar por un archivo PDF con un nombre ruso «CMK Правила оформления больничных листов.pdf.exe», que se traduce como «Reglas de CMK para emitir licencias por enfermedad.pdf.exe».
Actualmente se desconoce el vector de llegada del malware, aunque la naturaleza del señuelo apunta a que se está utilizando en una campaña de phishing. el mismo primera muestra de ThirdEye se subió a VirusTotal el 4 de abril de 2023, con relativamente menos funciones.
El ladrón en evolución, al igual que otras familias de malware de su tipo, está equipado para recopilar metadatos del sistema, incluida la fecha de lanzamiento del BIOS y el proveedor, el espacio total/libre en el disco en la unidad C, los procesos que se están ejecutando actualmente, los nombres de usuario registrados y la información del volumen. Los detalles acumulados luego se transmiten a un servidor de comando y control (C2).
Un rasgo notable del malware es que usa la cadena «3rd_eye» para señalar su presencia al servidor C2.
No hay signos que sugieran que ThirdEye se haya utilizado en la naturaleza. Dicho esto, dado que la mayoría de los artefactos de robo se cargaron en VirusTotal desde Rusia, es probable que la actividad maliciosa esté dirigida a organizaciones de habla rusa.
«Si bien este malware no se considera sofisticado, está diseñado para robar información diversa de las máquinas comprometidas que pueden usarse como trampolín para futuros ataques», dijeron los investigadores de Fortinet, y agregaron que los datos recopilados son «valiosos para comprender y reducir los objetivos potenciales». «
El desarrollo viene como instaladores troyanizados para la popular franquicia de videojuegos Super Mario Bros alojada en sitios de torrents incompletos se está utilizando para propagar mineros de criptomonedas y un ladrón de código abierto escrito en C# llamado Umbral que extrae datos de interés utilizando Discord Webhooks.
«La combinación de actividades de minería y robo conduce a pérdidas financieras, una disminución sustancial en el rendimiento del sistema de la víctima y el agotamiento de los valiosos recursos del sistema», Cyble dicho.
 |
| Cadena de infección de SeroXen |
Los usuarios de videojuegos también han sido blanco de Ransomware basado en Python y un troyano de acceso remoto denominado SeroXen, que se ha descubierto que aprovecha un motor comercial de ofuscación de archivos por lotes conocido como ScrubCrypt (también conocido como BatCloak) para evadir la detección. La evidencia muestra que los actores asociados con el desarrollo de SeroXen también han contribuido a la creación de ScrubCrypt.
El malware, que se anunciaba a la venta en un sitio web clearnet que se registró el 27 de marzo de 2023 antes de su cierre a fines de mayo, se ha promocionado aún más en Discord, TikTok, Twitter y YouTube. A versión crackeada de SeroXen desde entonces ha llegado a los foros criminales.
«Se recomienda encarecidamente a las personas que adopten una postura escéptica cuando encuentren enlaces y paquetes de software asociados con términos como ‘trucos’, ‘hacks’, ‘cracks’ y otras piezas de software relacionadas con la obtención de una ventaja competitiva», Trend Micro anotado en un nuevo análisis de SeroXen.
«La adición de SeroXen y BatCloak al arsenal de malware de actores maliciosos destaca la evolución de los ofuscadores FUD con una barrera de entrada baja. El enfoque casi amateur de usar las redes sociales para la promoción agresiva, considerando cómo se puede rastrear fácilmente, hace que estos los desarrolladores parecen novatos según los estándares de los actores de amenazas avanzados».