Un ladrón de información basado en Windows previamente no documentado llamado ThirdEye ha sido descubierto en la naturaleza con capacidades para recolectar datos confidenciales de hosts infectados.
Fortinet FortiGuard Labs, que hizo el descubrimiento , dijo que encontró el malware en un ejecutable que se hizo pasar por un archivo PDF con un nombre ruso «CMK Правила оформления больничных листов.pdf.exe», que se traduce como «Reglas de CMK para emitir bajas por enfermedad». pdf.exe».
Actualmente se desconoce el vector de llegada del malware, aunque la naturaleza del señuelo apunta a que se está utilizando en una campaña de phishing. La primera muestra de ThirdEye se cargó en VirusTotal el 4 de abril de 2023, con relativamente menos funciones.
El ladrón en evolución, al igual que otras familias de malware de su tipo, está equipado para recopilar metadatos del sistema, incluida la fecha de lanzamiento del BIOS y el proveedor, el espacio total/libre en el disco en la unidad C, los procesos que se están ejecutando actualmente, los nombres de usuario registrados y la información del volumen. Los detalles acumulados luego se transmiten a un servidor de comando y control (C2).
Un rasgo notable del malware es que usa la cadena «3rd_eye» para señalar su presencia al servidor C2.
No hay signos que sugieran que ThirdEye se haya utilizado en la naturaleza. Dicho esto, dado que la mayoría de los artefactos de robo se cargaron en VirusTotal desde Rusia, es probable que la actividad maliciosa esté dirigida a organizaciones de habla rusa.
«Si bien este malware no se considera sofisticado, está diseñado para robar información diversa de las máquinas comprometidas que pueden usarse como trampolín para futuros ataques», dijeron los investigadores de Fortinet, y agregaron que los datos recopilados son «valiosos para comprender y reducir los objetivos potenciales». «
El desarrollo se produce cuando los instaladores troyanos para la popular franquicia de videojuegos Super Mario Bros alojados en sitios de torrents incompletos se utilizan para propagar mineros de criptomonedas y un ladrón de código abierto escrito en C# llamado Umbral que extrae datos de interés utilizando Discord Webhooks.
«La combinación de actividades de extracción y robo conduce a pérdidas financieras, una disminución sustancial en el rendimiento del sistema de la víctima y el agotamiento de los valiosos recursos del sistema», dijo Cyble.
Los usuarios de videojuegos también han sido atacados con ransomware basado en Python y un troyano de acceso remoto denominado SeroXen , que se ha descubierto que aprovecha un motor comercial de ofuscación de archivos por lotes conocido como ScrubCrypt (también conocido como BatCloak) para evadir la detección. La evidencia muestra que los actores asociados con el desarrollo de SeroXen también han contribuido a la creación de ScrubCrypt.
El malware, que se anunció para la venta en un sitio web de clearnet que se registró el 27 de marzo de 2023 antes de su cierre a fines de mayo, se promocionó aún más en Discord, TikTok, Twitter y YouTube. Desde entonces, una versión descifrada de SeroXen ha llegado a los foros criminales.
«Se recomienda encarecidamente a las personas que adopten una postura escéptica cuando encuentren enlaces y paquetes de software asociados con términos como ‘trucos’, ‘hacks’, ‘cracks’ y otras piezas de software relacionadas con la obtención de una ventaja competitiva», señaló Trend Micro en un nuevo análisis de SeroXen.
«La adición de SeroXen y BatCloak al arsenal de malware de actores maliciosos destaca la evolución de los ofuscadores FUD con una barrera de entrada baja. El enfoque casi amateur de usar las redes sociales para la promoción agresiva, considerando cómo se puede rastrear fácilmente, hace que estos los desarrolladores parecen novatos según los estándares de los actores de amenazas avanzados».
Fuente y redacción: thehackernews.com
