Un voleur d’informations basé sur Windows précédemment non documenté appelé Troisième oeil a été découvert dans la nature avec des capacités pour récolter des données sensibles à partir d’hôtes infectés.
Fortinet FortiGuard Labs, qui fait la découvertea déclaré avoir trouvé le logiciel malveillant dans un exécutable déguisé en fichier PDF avec un nom russe « CMK Правила оформления больничных листов.pdf.exe », qui se traduit par « Règles CMK pour l’émission de congés de maladie.pdf.exe ».
Le vecteur d’arrivée du logiciel malveillant est actuellement inconnu, bien que la nature du leurre indique qu’il est utilisé dans une campagne de phishing. La très premier échantillon de ThirdEye a été téléchargé sur VirusTotal le 4 avril 2023, avec relativement moins de fonctionnalités.
Le voleur en évolution, comme d’autres familles de logiciels malveillants de ce type, est équipé pour collecter les métadonnées du système, y compris la date de sortie du BIOS et le fournisseur, l’espace disque total/libre sur le lecteur C, les processus en cours d’exécution, les noms d’utilisateur enregistrés et les informations de volume. Les détails amassés sont ensuite transmis à un serveur de commande et de contrôle (C2).
Un trait notable du logiciel malveillant est qu’il utilise la chaîne « 3rd_eye » pour signaler sa présence au serveur C2.
Il n’y a aucun signe suggérant que ThirdEye a été utilisé dans la nature. Cela dit, étant donné que la majorité des artefacts voleurs ont été téléchargés sur VirusTotal depuis la Russie, il est probable que l’activité malveillante vise les organisations russophones.
« Bien que ce malware ne soit pas considéré comme sophistiqué, il est conçu pour voler diverses informations sur des machines compromises qui peuvent être utilisées comme tremplin pour de futures attaques », ont déclaré les chercheurs de Fortinet, ajoutant que les données collectées sont « précieuses pour comprendre et réduire les cibles potentielles ». «
Le développement vient comme installateurs troyens pour la populaire franchise de jeux vidéo Super Mario Bros hébergée sur des sites de torrent sommaires sont utilisés pour propager des mineurs de crypto-monnaie et un voleur open source écrit en C # appelé Umbral qui exfiltre les données d’intérêt à l’aide de Discord Webhooks.
« La combinaison des activités d’extraction et de vol entraîne des pertes financières, une baisse substantielle des performances du système de la victime et l’épuisement de ressources système précieuses », a déclaré Cyble. a dit.
 |
| Chaîne d’infection SeroXen |
Les utilisateurs de jeux vidéo ont également été ciblés par Rançongiciel basé sur Python et un cheval de Troie d’accès à distance appelé SeroXen, qui s’est avéré tirer parti d’un moteur commercial d’obfuscation de fichiers batch connu sous le nom de ScrubCrypt (alias BatCloak) pour échapper à la détection. Les preuves montrent que les acteurs associés au développement de SeroXen ont également contribué à la création de ScrubCrypt.
Le logiciel malveillant, dont la vente a été annoncée sur un site web clearnet qui a été enregistré le 27 mars 2023 avant sa fermeture fin mai, a en outre été promu sur Discord, TikTok, Twitter et YouTube. UN version crackée de SeroXen a depuis trouvé son chemin vers les forums criminels.
« Il est fortement conseillé aux individus d’adopter une attitude sceptique lorsqu’ils rencontrent des liens et des progiciels associés à des termes tels que ‘tricheurs’, ‘hacks’, ‘cracks’ et autres logiciels liés à l’obtention d’un avantage concurrentiel », Trend Micro indiqué dans une nouvelle analyse de SeroXen.
« L’ajout de SeroXen et BatCloak à l’arsenal de logiciels malveillants d’acteurs malveillants met en évidence l’évolution des obfuscateurs FUD avec une faible barrière à l’entrée. L’approche presque amateur consistant à utiliser les médias sociaux pour une promotion agressive, compte tenu de la façon dont il peut être facilement tracé, rend ces les développeurs semblent être des novices selon les normes avancées des acteurs de la menace. »