Новости ThirdEye: новый похититель информации, направленный на Windows-системы

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Судя по всему, целью хакеров являются русскоязычные пользователи.


p8saab9yulw582tme9iob2njcjarphgt.png


Новое вредоносное ПО для Windows , способное похищать конфиденциальные данные с заражённых компьютеров, Для просмотра ссылки Войди или Зарегистрируйся исследователями из Fortinet FortiGuard Labs. Они назвали его «ThirdEye» («третий глаз») и отметили, что ранее данное программное обеспечение не фигурировало в базах антивирусов.

Метод распространения этого вредоносного кода пока неизвестен, но по всей видимости, он использует фишинговые кампании. Исследователи нашли его в исполняемом файле, который маскировался под PDF-документ с русским названием «CMK Правила оформления больничных листов.pdf.exe». Первый образец ThirdEye был загружен на VirusTotal 4 апреля 2023 года и имел относительно небольшой функционал.

ThirdEye способен собирать метаданные системы, такие как дата выпуска и производитель BIOS, общий/свободный объем диска C, текущие процессы, имена пользователей, информация о томах. Собранные данные затем передается на C2-сервер злоумышленников. Отличительной чертой вредоносного кода является то, что он использует строку «3rd_eye» для связи с C2-сервером.

Пока нет признаков того, что ThirdEye активно использовался в кибератаках. Однако большинство образцов вредоносного кода были загружены на VirusTotal из России, что может свидетельствовать о том, что хакеры нацеливаются на русскоязычные организации.

«Хотя этот вредоносный код не является сложным, он предназначен для кражи различной информации с заражённых машин, которая может быть использована как отправная точка для будущих атак», — сказали исследователи Fortinet, добавив, что собранные данные «ценны для понимания и сужения круга потенциальных целей».

Это не единственный пример вредоносного кода, который в последнее время был нацелен на пользователей Windows. Ранее Для просмотра ссылки Войди или Зарегистрируйся , что поддельные установщики популярной видеоигры Super Mario Bros, размещенные на подозрительных торрент-сайтах, используются для распространения криптовалютных майнеров и открытого вора данных Umbral, написанного на C#, который выкачивает интересующие данные с помощью вебхуков Discord .

«Сочетание майнинга и кражи данных приводит к финансовым потерям, значительному снижению производительности системы жертвы и истощению ценных ресурсов системы», — заявила компания Cyble .

Недавно пользователи видеоигр также Для просмотра ссылки Войди или Зарегистрируйся основанного на Python вымогателя и трояна удаленного доступа ( RAT ) под названием SeroXen, который использует Для просмотра ссылки Войди или Зарегистрируйся пакетных файлов ScrubCrypt (он же BatCloak), чтобы избежать обнаружения. Есть свидетельства того, что актеры, связанные с разработкой SeroXen, также принимали участие в создании ScrubCrypt.

Крайне важно сохранять бдительность и не открывать сомнительные файлы, полученные от неизвестных отправителей или скачанные с подозрительных сайтов, особенно если они имеют двойное расширение. Также рекомендуется использовать надежный антивирус и регулярно обновлять его, чтобы надёжно защитить свою информацию от новых угроз.
 
Источник новости
www.securitylab.ru

Похожие темы