Un voleur d’informations basé sur Windows précédemment non documenté appelé Troisième oeil a été découvert dans la nature avec des capacités pour récolter des données sensibles à partir d’hôtes infectés.
Fortinet FortiGuard Labs, qui a fait la découverte, a déclaré avoir trouvé le logiciel malveillant dans un exécutable déguisé en fichier PDF portant le nom russe « CMK Правила оформления больничных листов.pdf.exe », qui se traduit par « Règles CMK pour l’émission de congés de maladie ». pdf.exe. »
Le vecteur d’arrivée du logiciel malveillant est actuellement inconnu, bien que la nature du leurre indique qu’il est utilisé dans une campagne de phishing. Le tout premier échantillon de ThirdEye a été téléchargé sur VirusTotal le 4 avril 2023, avec relativement moins de fonctionnalités.
Le voleur en évolution, comme d’autres familles de logiciels malveillants de ce type, est équipé pour collecter les métadonnées du système, y compris la date de sortie du BIOS et le fournisseur, l’espace disque total/libre sur le lecteur C, les processus en cours d’exécution, les noms d’utilisateur enregistrés et les informations de volume. Les détails amassés sont ensuite transmis à un serveur de commande et de contrôle (C2).
Un trait notable du logiciel malveillant est qu’il utilise la chaîne « 3rd_eye » pour signaler sa présence au serveur C2.
Il n’y a aucun signe suggérant que ThirdEye a été utilisé dans la nature. Cela dit, étant donné que la majorité des artefacts voleurs ont été téléchargés sur VirusTotal depuis la Russie, il est probable que l’activité malveillante vise les organisations russophones.
« Bien que ce malware ne soit pas considéré comme sophistiqué, il est conçu pour voler diverses informations sur des machines compromises qui peuvent être utilisées comme tremplin pour de futures attaques », ont déclaré les chercheurs de Fortinet, ajoutant que les données collectées sont « précieuses pour comprendre et réduire les cibles potentielles ». «
Le développement intervient alors que des installateurs trojanisés pour la populaire franchise de jeux vidéo Super Mario Bros hébergés sur des sites torrent sommaires sont utilisés pour propager des mineurs de crypto-monnaie et un voleur open source écrit en C # appelé Umbral qui exfiltre les données d’intérêt à l’aide de Discord Webhooks.
« La combinaison des activités d’extraction et de vol entraîne des pertes financières, une baisse substantielle des performances du système de la victime et l’épuisement de précieuses ressources système », a déclaré Cyble.
Les utilisateurs de jeux vidéo ont également été ciblés par un rançongiciel basé sur Python et un cheval de Troie d’accès à distance appelé SeroXen, qui s’est avéré tirer parti d’un moteur commercial d’obfuscation de fichiers par lots connu sous le nom de ScrubCrypt (alias BatCloak) pour échapper à la détection. Les preuves montrent que les acteurs associés au développement de SeroXen ont également contribué à la création de ScrubCrypt.
Le logiciel malveillant, qui a été annoncé à la vente sur un site Web clearnet enregistré le 27 mars 2023 avant sa fermeture fin mai, a en outre été promu sur Discord, TikTok, Twitter et YouTube. Une version crackée de SeroXen a depuis trouvé son chemin vers les forums criminels.
« Il est fortement conseillé aux individus d’adopter une attitude sceptique lorsqu’ils rencontrent des liens et des progiciels associés à des termes tels que ‘tricheurs’, ‘hacks’, ‘cracks’ et autres logiciels liés à l’obtention d’un avantage concurrentiel », a noté Trend Micro dans une nouvelle analyse de SeroXen.
« L’ajout de SeroXen et BatCloak à l’arsenal de logiciels malveillants d’acteurs malveillants met en évidence l’évolution des obfuscateurs FUD avec une faible barrière à l’entrée. L’approche presque amateur consistant à utiliser les médias sociaux pour une promotion agressive, compte tenu de la façon dont il peut être facilement tracé, rend ces les développeurs semblent être des novices selon les normes avancées des acteurs de la menace. »
