Malware Stealer Typhon Reborn Ressurge com Técnicas Avançadas de Evasão
5 de Abril de 2023

O ator de ameaças por trás do malware de roubo de informações conhecido como Typhon Reborn ressurgiu com uma versão atualizada (V2) que inclui capacidades melhoradas para evitar detecção e resistir à análise.

A nova versão está à venda no mercado negro por US$ 59 por mês, US$ 360 por ano ou, alternativamente, por US$ 540 para uma assinatura vitalícia.

"O rouba-senhas pode coletar e exfiltrar informações sensíveis e usa a API do Telegram para enviar dados roubados aos atacantes", disse o pesquisador do Cisco Talos, Edmund Brumaghin, em um relatório divulgado na terça-feira.

O Typhon foi documentado pela primeira vez pela Cyble em agosto de 2022, detalhando seus recursos, incluindo a captura do conteúdo da área de transferência, captura de tela, registro de digitação e roubo de dados de carteiras de criptomoedas, mensagens, FTP, VPN, navegadores e aplicativos de jogos.

Com base em outro malware de roubo de senhas chamado Prynt Stealer, o Typhon também é capaz de entregar o minerador de criptomoedas XMRig.

Em novembro de 2022, a Palo Alto Networks Unit 42 descobriu uma versão atualizada chamada Typhon Reborn.

"Essa nova versão tem técnicas anti-análise aprimoradas e foi modificada para melhorar os recursos de roubo e captura de arquivos", disse a Unit 42, apontando a remoção de recursos existentes como o registro de digitação e mineração de criptomoedas em uma aparente tentativa de reduzir as chances de detecção.

A última variante V2, segundo o Cisco Talos, foi anunciada por seu desenvolvedor em 31 de janeiro de 2023, no fórum da dark web em língua russa XSS.

"O rouba-senhas Typhon Reborn é uma versão fortemente refatorada e aprimorada do Typhon Stealer mais antigo e instável", disse o autor do malware, além de destacar seu preço baixo e a ausência de qualquer backdoor.

Como outros malwares, o V2 vem com opções para evitar a infecção de sistemas localizados nos países da Comunidade dos Estados Independentes (CEI).

No entanto, ele exclui notavelmente a Ucrânia e a Geórgia da lista.

Além de incorporar mais verificações anti-análise e anti-virtualização, o Typhon Reborn V2 remove seus recursos de persistência, optando por se encerrar depois de exfiltrar os dados.

O malware transmite os dados coletados em um arquivo compactado via HTTPS usando a API do Telegram, marcando o abuso contínuo da plataforma de mensagens.

"Depois que os dados foram transmitidos com sucesso ao atacante, o arquivo é excluído do sistema infectado", disse Brumaghin.

"O malware, então, chama [uma função de autoexclusão] para encerrar a execução".

As descobertas surgem à medida que a Cyble divulgou um novo malware roubador baseado em Python chamado Creal, que visa usuários de criptomoedas por meio de sites de phishing que imitam serviços legítimos de mineração de criptomoedas, como o Kryptex.

O malware não é diferente do Typhon Reborn, pois é capaz de desviar cookies e senhas de navegadores da web baseados em Chromium, bem como dados de aplicativos de mensagens instantâneas, jogos e carteiras de criptomoedas.

Dito isso, o código-fonte do malware está disponível no GitHub, permitindo que outros atores de ameaças alterem o malware para atender às suas necessidades e tornando-o uma ameaça potente.

"O rouba-senhas Creal é capaz de exfiltrar dados usando webhooks do Discord e várias plataformas de hospedagem e compartilhamento de arquivos, como Anonfiles e Gofile", disse a Cyble em um relatório publicado na semana passada.

"A tendência de usar código-fonte aberto em malwares está aumentando entre os criminosos cibernéticos, pois permite que eles criem ataques sofisticados e personalizados com despesas mínimas".

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...