Um ladrão de informações baseado no Windows, chamado ThirdEye, anteriormente não documentado, foi descoberto na natureza com capacidade para coletar dados sensíveis de hosts infectados.
O Fortinet FortiGuard Labs, responsável pela descoberta, afirmou ter encontrado o malware em um executável que se passava por um arquivo PDF com nome russo "CMK Правила оформления больничных листов.pdf.exe", que se traduz para "CMK Regras para emissão de atestados médicos.pdf.exe".
Ainda não se sabe como o malware chegou aos sistemas, embora a natureza do atrativo indique que ele possa ser usado em uma campanha de phishing.
A primeira amostra do ThirdEye foi enviada para o VirusTotal em 4 de abril de 2023, com recursos relativamente limitados.
O ladrão em evolução, como outras famílias de malwares do mesmo tipo, é equipado para coletar metadados do sistema, incluindo data de lançamento e fornecedor da BIOS, espaço total/livre no disco C, processos em execução no momento, nomes de usuários registrados e informações de volume.
Os detalhes coletados são então transmitidos para um servidor de comando e controle (C2).
Uma característica notável do malware é que ele usa a sequência de caracteres "3rd_eye" para se comunicar com o servidor C2.
Não há sinais de que o ThirdEye tenha sido usado na natureza.
Isso dito, considerando que a maioria das amostras do ladrão foi enviada para o VirusTotal a partir da Rússia, é provável que a atividade maliciosa esteja direcionada a organizações de língua russa.
"Embora esse malware não seja considerado sofisticado, ele é projetado para roubar várias informações de máquinas comprometidas que podem ser usadas como trampolins para ataques futuros", disseram os pesquisadores da Fortinet, acrescentando que os dados coletados são "valiosos para entender e reduzir possíveis alvos".
O desenvolvimento ocorre enquanto instaladores trojanizados para a popular franquia de jogos de vídeo Super Mario Bros, hospedados em sites de torrent suspeitos, estão sendo usados para propagar mineradores de criptomoedas e um ladrão de código aberto escrito em C# chamado Umbral, que exfiltra dados de interesse usando os Webhooks do Discord.
"A combinação de atividades de mineração e roubo leva a perdas financeiras, uma queda substancial no desempenho do sistema da vítima e a exaustão de recursos valiosos do sistema", disse a Cyble.
A cadeia de infecção de SeroXen Os usuários de jogos de vídeo também foram alvo de ransomware baseado em Python e de um trojan de acesso remoto chamado SeroXen, que foi descoberto aproveitando um mecanismo de ofuscação de arquivos em lote comercial conhecido como ScrubCrypt (também chamado de BatCloak) para evitar detecção.
Evidências mostram que atores associados ao desenvolvimento do SeroXen também contribuíram para a criação do ScrubCrypt.
O malware, que foi anunciado para venda em um site da clearnet registrado em 27 de março de 2023 antes de ser desativado no final de maio, também foi promovido no Discord, TikTok, Twitter e YouTube.
Uma versão crackeada do SeroXen acabou sendo disponibilizada em fóruns criminais.
"É altamente recomendado que as pessoas adotem uma postura cética ao encontrar links e pacotes de software associados a termos como 'cheats', 'hacks', 'cracks' e outros softwares relacionados a obtenção de vantagem competitiva", observou a Trend Micro em uma nova análise do SeroXen.
"A adição do SeroXen e do BatCloak ao arsenal de malwares de atores maliciosos destaca a evolução dos ofuscadores FUD com baixa barreira de entrada.
A abordagem quase amadora de usar as redes sociais para promoção agressiva, considerando como isso pode ser facilmente rastreado, faz com que esses desenvolvedores pareçam novatos pelos padrões de atores de ameaças avançadas."
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...