{"id":806484,"date":"2023-06-29T04:32:32","date_gmt":"2023-06-29T06:32:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-thirdeye-windows-nouvellement-decouvert-vole-des-donnees-sensibles\/"},"modified":"2023-06-29T04:32:32","modified_gmt":"2023-06-29T06:32:32","slug":"le-logiciel-malveillant-thirdeye-windows-nouvellement-decouvert-vole-des-donnees-sensibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-thirdeye-windows-nouvellement-decouvert-vole-des-donnees-sensibles\/","title":{"rendered":"Le logiciel malveillant ThirdEye Windows nouvellement d\u00e9couvert vole des donn\u00e9es sensibles"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 juin 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cybermenace \/ Piratage<\/span><\/p>\n<\/div>\n

\n
\"Logiciel<\/div>\n

Un voleur d’informations bas\u00e9 sur Windows pr\u00e9c\u00e9demment non document\u00e9 appel\u00e9 Troisi\u00e8me oeil<\/strong> a \u00e9t\u00e9 d\u00e9couvert dans la nature avec des capacit\u00e9s pour r\u00e9colter des donn\u00e9es sensibles \u00e0 partir d’h\u00f4tes infect\u00e9s.<\/p>\n

Fortinet FortiGuard Labs, qui fait la d\u00e9couverte<\/a>a d\u00e9clar\u00e9 avoir trouv\u00e9 le logiciel malveillant dans un ex\u00e9cutable d\u00e9guis\u00e9 en fichier PDF<\/a> avec un nom russe “CMK \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u0438\u044f \u0431\u043e\u043b\u044c\u043d\u0438\u0447\u043d\u044b\u0445 \u043b\u0438\u0441\u0442\u043e\u0432.pdf.exe”, qui se traduit par “R\u00e8gles CMK pour l’\u00e9mission de cong\u00e9s de maladie.pdf.exe”.<\/p>\n

Le vecteur d’arriv\u00e9e du logiciel malveillant est actuellement inconnu, bien que la nature du leurre indique qu’il est utilis\u00e9 dans une campagne de phishing. La tr\u00e8s premier \u00e9chantillon de ThirdEye<\/a> a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal le 4 avril 2023, avec relativement moins de fonctionnalit\u00e9s.<\/p>\n

Le voleur en \u00e9volution, comme d’autres familles de logiciels malveillants de ce type, est \u00e9quip\u00e9 pour collecter les m\u00e9tadonn\u00e9es du syst\u00e8me, y compris la date de sortie du BIOS et le fournisseur, l’espace disque total\/libre sur le lecteur C, les processus en cours d’ex\u00e9cution, les noms d’utilisateur enregistr\u00e9s et les informations de volume. Les d\u00e9tails amass\u00e9s sont ensuite transmis \u00e0 un serveur de commande et de contr\u00f4le (C2). <\/p>\n

\"La<\/a><\/center><\/div>\n

Un trait notable du logiciel malveillant est qu’il utilise la cha\u00eene “3rd_eye” pour signaler sa pr\u00e9sence au serveur C2. <\/p>\n

Il n’y a aucun signe sugg\u00e9rant que ThirdEye a \u00e9t\u00e9 utilis\u00e9 dans la nature. Cela dit, \u00e9tant donn\u00e9 que la majorit\u00e9 des artefacts voleurs ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s sur VirusTotal depuis la Russie, il est probable que l’activit\u00e9 malveillante vise les organisations russophones.<\/p>\n

“Bien que ce malware ne soit pas consid\u00e9r\u00e9 comme sophistiqu\u00e9, il est con\u00e7u pour voler diverses informations sur des machines compromises qui peuvent \u00eatre utilis\u00e9es comme tremplin pour de futures attaques”, ont d\u00e9clar\u00e9 les chercheurs de Fortinet, ajoutant que les donn\u00e9es collect\u00e9es sont “pr\u00e9cieuses pour comprendre et r\u00e9duire les cibles potentielles”. “<\/p>\n

Le d\u00e9veloppement vient comme installateurs troyens<\/a> pour la populaire franchise de jeux vid\u00e9o Super Mario Bros h\u00e9berg\u00e9e sur des sites de torrent sommaires sont utilis\u00e9s pour propager des mineurs de crypto-monnaie et un voleur open source \u00e9crit en C # appel\u00e9 Umbral qui exfiltre les donn\u00e9es d’int\u00e9r\u00eat \u00e0 l’aide de Discord Webhooks.<\/p>\n

“La combinaison des activit\u00e9s d’extraction et de vol entra\u00eene des pertes financi\u00e8res, une baisse substantielle des performances du syst\u00e8me de la victime et l’\u00e9puisement de ressources syst\u00e8me pr\u00e9cieuses”, a d\u00e9clar\u00e9 Cyble. a dit<\/a>.<\/p>\n\n\n\n\n
\"Logiciel<\/td>\n<\/tr>\n
Cha\u00eene d’infection SeroXen<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Les utilisateurs de jeux vid\u00e9o ont \u00e9galement \u00e9t\u00e9 cibl\u00e9s par Ran\u00e7ongiciel bas\u00e9 sur Python<\/a> et un cheval de Troie d’acc\u00e8s \u00e0 distance appel\u00e9 SeroXen, qui s’est av\u00e9r\u00e9 tirer parti d’un moteur commercial d’obfuscation de fichiers batch connu sous le nom de ScrubCrypt (alias BatCloak) pour \u00e9chapper \u00e0 la d\u00e9tection. Les preuves montrent que les acteurs associ\u00e9s au d\u00e9veloppement de SeroXen ont \u00e9galement contribu\u00e9 \u00e0 la cr\u00e9ation de ScrubCrypt.<\/p>\n

\"La<\/a><\/center><\/div>\n

Le logiciel malveillant, dont la vente a \u00e9t\u00e9 annonc\u00e9e sur un site web clearnet<\/a> qui a \u00e9t\u00e9 enregistr\u00e9 le 27 mars 2023 avant sa fermeture fin mai, a en outre \u00e9t\u00e9 promu sur Discord, TikTok, Twitter et YouTube. UN version crack\u00e9e de SeroXen<\/a> a depuis trouv\u00e9 son chemin vers les forums criminels.<\/p>\n

“Il est fortement conseill\u00e9 aux individus d’adopter une attitude sceptique lorsqu’ils rencontrent des liens et des progiciels associ\u00e9s \u00e0 des termes tels que ‘tricheurs’, ‘hacks’, ‘cracks’ et autres logiciels li\u00e9s \u00e0 l’obtention d’un avantage concurrentiel”, Trend Micro indiqu\u00e9<\/a> dans une nouvelle analyse de SeroXen.<\/p>\n

“L’ajout de SeroXen et BatCloak \u00e0 l’arsenal de logiciels malveillants d’acteurs malveillants met en \u00e9vidence l’\u00e9volution des obfuscateurs FUD avec une faible barri\u00e8re \u00e0 l’entr\u00e9e. L’approche presque amateur consistant \u00e0 utiliser les m\u00e9dias sociaux pour une promotion agressive, compte tenu de la fa\u00e7on dont il peut \u00eatre facilement trac\u00e9, rend ces les d\u00e9veloppeurs semblent \u00eatre des novices selon les normes avanc\u00e9es des acteurs de la menace.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n