ThirdEye: новый похититель информации, направленный на Windows-системы

Новое вредоносное ПО для Windows, способное похищать конфиденциальные данные с заражённых компьютеров, было обнаружено исследователями из Fortinet FortiGuard Labs. Они назвали его «ThirdEye» («третий глаз») и отметили, что ранее данное программное обеспечение не фигурировало в базах антивирусов.

Метод распространения этого вредоносного кода пока неизвестен, но по всей видимости, он использует фишинговые кампании. Исследователи нашли его в исполняемом файле, который маскировался под PDF-документ с русским названием «CMK Правила оформления больничных листов.pdf.exe». Первый образец ThirdEye был загружен на VirusTotal 4 апреля 2023 года и имел относительно небольшой функционал.

ThirdEye способен собирать метаданные системы, такие как дата выпуска и производитель BIOS, общий/свободный объем диска C, текущие процессы, имена пользователей, информация о томах. Собранные данные затем передается на C2-сервер злоумышленников. Отличительной чертой вредоносного кода является то, что он использует строку «3rd_eye» для связи с C2-сервером.

Пока нет признаков того, что ThirdEye активно использовался в кибератаках. Однако большинство образцов вредоносного кода были загружены на VirusTotal из России, что может свидетельствовать о том, что хакеры нацеливаются на русскоязычные организации.

«Хотя этот вредоносный код не является сложным, он предназначен для кражи различной информации с заражённых машин, которая может быть использована как отправная точка для будущих атак», — сказали исследователи Fortinet, добавив, что собранные данные «ценны для понимания и сужения круга потенциальных целей».

Это не единственный пример вредоносного кода, который в последнее время был нацелен на пользователей Windows. Ранее было обнаружено , что поддельные установщики популярной видеоигры Super Mario Bros, размещенные на подозрительных торрент-сайтах, используются для распространения криптовалютных майнеров и открытого вора данных Umbral, написанного на C#, который выкачивает интересующие данные с помощью вебхуков Discord.

«Сочетание майнинга и кражи данных приводит к финансовым потерям, значительному снижению производительности системы жертвы и истощению ценных ресурсов системы», — заявила компания Cyble.

Недавно пользователи видеоигр также стали жертвами основанного на Python вымогателя и трояна удаленного доступа (RAT) под названием SeroXen, который использует коммерческий движок для обфускации пакетных файлов ScrubCrypt (он же BatCloak), чтобы избежать обнаружения. Есть свидетельства того, что актеры, связанные с разработкой SeroXen, также принимали участие в создании ScrubCrypt.

Крайне важно сохранять бдительность и не открывать сомнительные файлы, полученные от неизвестных отправителей или скачанные с подозрительных сайтов, особенно если они имеют двойное расширение. Также рекомендуется использовать надежный антивирус и регулярно обновлять его, чтобы надёжно защитить свою информацию от новых угроз.