El actor de amenazas detrás del malware de robo de información conocido como tifón renacido ha resurgido con una versión actualizada (V2) que incluye capacidades mejoradas para evadir la detección y resistir el análisis.
La nueva versión se ofrece a la venta en la clandestinidad criminal por $ 59 por mes, $ 360 por año o, alternativamente, por $ 540 por una suscripción de por vida.
«El ladrón puede recolectar y filtrar información confidencial y utiliza la API de Telegram para enviar datos robados a los atacantes», dijo Edmund Brumaghin, investigador de Cisco Talos. dicho en un informe del martes.
Tifón fue documentado por primera vez por Cyble en agosto de 2022, que detalla sus innumerables funciones, incluido el secuestro de contenido del portapapeles, la captura de capturas de pantalla, el registro de pulsaciones de teclas y el robo de datos de la billetera criptográfica, mensajería, FTP, VPN, navegador y aplicaciones de juegos.
Basado en otro malware ladrón llamado Prynt Stealer, Typhon también es capaz de entregar el minero de criptomonedas XMRig. En noviembre de 2022, la Unidad 42 de Palo Alto Networks descubrió una versión actualizada denominada Typhon Reborn.
«Esta nueva versión ha aumentado las técnicas de antianálisis y se modificó para mejorar las funciones de ladrón y captura de archivos», dijo Unit 42, señalando la eliminación de funciones existentes como el registro de teclas y la minería de criptomonedas en un aparente intento de reducir las posibilidades de detección. .
La última variante V2, según Cisco Talos, fue comercializada por su desarrollador el 31 de enero de 2023 en el foro XSS de la web oscura en ruso.
«El ladrón Typhon Reborn es una versión mejorada y muy refactorizada del antiguo e inestable Typhon Stealer», dijo el autor del malware, además de promocionar su precio económico y la ausencia de puertas traseras.
Al igual que otros programas maliciosos, V2 viene con opciones para evitar infectar sistemas ubicados en países de la Comunidad de Estados Independientes (CEI). Sin embargo, excluye en particular a Ucrania y Georgia de la lista.
Además de incorporar más comprobaciones antianálisis y antivirtualización, Typhon Reborn V2 elimina sus funciones de persistencia y, en su lugar, opta por cerrarse después de filtrar los datos.
El malware finalmente transmite los datos recopilados en un archivo comprimido a través de HTTPS utilizando la API de Telegram, lo que marca un abuso continuo de la plataforma de mensajería.
«Una vez que los datos se han transmitido con éxito al atacante, el archivo se elimina del sistema infectado», dijo Brumaghin. «El malware entonces llama [a self-delete function] para terminar la ejecución».
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Los hallazgos se producen cuando Cyble reveló un nuevo malware ladrón basado en Python llamado Creal que se dirige a los usuarios de criptomonedas a través de sitios de phishing que imitan los servicios legítimos de criptominería como Kryptex.
El malware no es diferente de Typhon Reborn en el sentido de que está equipado para desviar cookies y contraseñas de navegadores web basados en Chromium, así como datos de aplicaciones de mensajería instantánea, juegos y billeteras criptográficas.
Dicho esto, el código fuente del malware está disponible en GitHub, lo que permite que otros actores de amenazas modifiquen el malware para adaptarlo a sus necesidades y convertirlo en una amenaza potente.
«Creal Stealer es capaz de filtrar datos utilizando webhooks de Discord y múltiples plataformas de alojamiento y uso compartido de archivos, como Anonfiles y Gofile», Cyble dicho en un informe publicado la semana pasada.
“La tendencia de utilizar código abierto en el malware es cada vez mayor entre los ciberdelincuentes, ya que les permite crear ataques sofisticados y personalizados con gastos mínimos”.