Daha önce belgelenmemiş bir Windows tabanlı bilgi hırsızı olarak adlandırılan Üçüncü göz virüslü ana bilgisayarlardan hassas verileri toplama yetenekleriyle vahşi doğada keşfedildi.
Fortinet FortiGuard Laboratuvarları, hangi keşfi yaptıkötü amaçlı yazılımı bir yürütülebilir dosyada bulduğunu söyledi. PDF dosyası Rusça adı “CMK Правила оформления больничных листов.pdf.exe”, bu da “hasta yapraklar.pdf.exe yayınlamak için CMK Kuralları” anlamına gelir.
Kötü amaçlı yazılımın varış vektörü şu anda bilinmiyor, ancak cazibenin doğası onun bir kimlik avı kampanyasında kullanıldığını gösteriyor. Çok ilk ThirdEye örneği nispeten daha az özellikle 4 Nisan 2023’te VirusTotal’a yüklendi.
Gelişen hırsız, türünün diğer kötü amaçlı yazılım aileleri gibi, BIOS yayın tarihi ve satıcısı, C sürücüsündeki toplam/boş disk alanı, şu anda çalışan işlemler, kayıt kullanıcı adları ve birim bilgileri dahil olmak üzere sistem meta verilerini toplayacak şekilde donatılmıştır. Toplanan ayrıntılar daha sonra bir komuta ve kontrol (C2) sunucusuna iletilir.
Kötü amaçlı yazılımın dikkate değer bir özelliği, varlığını C2 sunucusuna bildirmek için “3rd_eye” dizesini kullanmasıdır.
ThirdEye’ın vahşi doğada kullanıldığını gösteren hiçbir işaret yok. Bununla birlikte, hırsız yapıtlarının çoğunun VirusTotal’a Rusya’dan yüklendiği göz önüne alındığında, kötü niyetli etkinliğin Rusça konuşan kuruluşları hedef alması muhtemeldir.
Fortinet araştırmacıları, “Bu kötü amaçlı yazılım karmaşık olarak görülmese de, güvenliği ihlal edilmiş makinelerden gelecekteki saldırılar için basamak taşı olarak kullanılabilecek çeşitli bilgileri çalmak üzere tasarlandı” dedi ve toplanan verilerin “potansiyel hedefleri anlamak ve daraltmak için değerli olduğunu” ekledi. “
gelişme olarak gelir truva atı bulaşmış yükleyiciler Yarım yamalak torrent sitelerinde barındırılan popüler Super Mario Bros video oyunu serisi, kripto para madencilerini ve Discord Webhooks’u kullanarak ilgilenilen verileri sızdıran Umbral adlı C# ile yazılmış açık kaynaklı bir hırsızı yaymak için kullanılıyor.
Cyble, “Madencilik ve hırsızlık faaliyetlerinin birleşimi mali kayıplara, kurbanın sistem performansında önemli bir düşüşe ve değerli sistem kaynaklarının tükenmesine yol açar.” söz konusu.
 |
| SeroXen enfeksiyon zinciri |
Video oyunu kullanıcıları da hedef alındı Python tabanlı fidye yazılımı ve ScrubCrypt (diğer adıyla BatCloak) olarak bilinen ticari bir toplu iş dosyası gizleme motorundan yararlanarak tespit edilmekten kurtulduğu tespit edilen SeroXen adlı bir uzaktan erişim truva atı. Kanıtlar, SeroXen’in geliştirilmesiyle ilişkili aktörlerin ScrubCrypt’in yaratılmasına da katkıda bulunduğunu gösteriyor.
Bir sitede satışa sunulan kötü amaçlı yazılım net web sitesi Mayıs ayı sonlarında kapatılmadan önce 27 Mart 2023’te kaydedilen, Discord, TikTok, Twitter ve YouTube’da ayrıca tanıtıldı. A SeroXen’in kırık versiyonu o zamandan beri suç forumlarına giden yolu buldu.
Trend Micro, “Bireylerin, ‘hileler’, ‘hack’, ‘crack’ gibi terimlerle ve rekabet avantajı elde etmeye yönelik diğer yazılım parçalarıyla ilişkili bağlantılarla ve yazılım paketleriyle karşılaştıklarında şüpheci bir tutum benimsemeleri şiddetle tavsiye edilir.” kayıt edilmiş SeroXen’in yeni bir analizinde.
“Kötü niyetli aktörlerin kötü amaçlı yazılım cephaneliğine SeroXen ve BatCloak’ın eklenmesi, giriş engeli düşük olan FUD karartıcılarının gelişimini vurguluyor. Sosyal medyayı agresif tanıtım için kullanmanın neredeyse amatör yaklaşımı, nasıl kolayca izlenebileceği düşünüldüğünde, bunları bu hale getiriyor. geliştiriciler, gelişmiş tehdit aktörlerinin standartlarına göre acemi gibi görünüyor.”
