Typhon info-stealing malware devs upgrade evasion capabilities
ผู้พัฒนามัลแวร์ขโมยข้อมูล Typhon ได้ประกาศในฟอรัม dark web ว่าพวกเขาได้อัปเดตเวอร์ชันมัลแวร์เป็น Typhon Reborn V2 ซึ่งถูกออกแบบมาเพื่อขัดขวางการวิเคราะห์ผ่านกลไก anti-virtualization mechanisms.. มัลแวร์ Typhon ถูกค้นพบโดยนักวิเคราะห์มัลแวร์จาก Cyble Research Labs ในเดือนสิงหาคม 2565 และพบว่ามัลแวร์ Typhon ทำการรวมตัวกับมัลแวร์ตัวอื่นๆ เช่น clipper, keylogger และ crypto-miner นักวิเคราะห์ของ Cisco Talos รายงานว่ามัลแวร์ Typhon Reborn V2 ได้รับการโปรโมตบน dark web ตั้งแต่เดือนมกราคมและมีการซื้อหลายครั้ง ซึ่งนักวิจัยได้ค้นพบตัวอย่างเวอร์ชันล่าสุดตั้งแต่เดือนธันวาคม 2022
จากข้อมูลของ Cisco Talos ได้อธิบายว่าซอร์สโค้ดสำหรับ Typhon V2 ได้รับการแก้ไขโดยเปลี่ยนไปใช้การเข้ารหัสแบบ Base64 และ XOR ทำให้โค้ดที่เป็นอันตรายนั้นมีความแข็งแกร่ง เชื่อถือได้ และเสถียรยิ่งขึ้น ซึ่งทำให้การวิเคราะห์มัลแวร์เป็นงานที่ยากขึ้น คุณสมบัติใหม่ที่โดดเด่นที่สุดคือกระบวนการของ Typhon V2 คือมันสามารถตรวจสอบว่ามันทำงานบนสภาพแวดล้อมของเหยื่อหรือไม่ ไม่ใช่โฮสต์จำลองบนคอมพิวเตอร์ของนักวิจัย ซึ่งรวมถึงการตรวจสอบข้อมูล GPU, การมีอยู่ของ DLLs ที่เกี่ยวข้องกับซอฟต์แวร์ด้านความปลอดภัย, ตัวควบคุมวิดีโอสำหรับตัวบ่งชี้ VM, การตรวจสอบรีจิสทรี, ชื่อผู้ใช้ และแม้แต่การตรวจสอบการมีอยู่ของ Wine ซึ่งเป็นโปรแกรมจำลองของ Windows
ปัจจุบันมัลแวร์ Typhon ยังคงกำหนดเป้าหมาย email clients, messaging apps, cryptocurrency wallet, extensions บน browser, FTP clients, VPN clients และข้อมูลที่เก็บไว้ในเว็บเบราว์เซอร์ นอกจากนี้ยังสามารถจับภาพหน้าจอจากอุปกรณ์ที่ถูกบุกรุก คุณสมบัติใหม่อีกอย่างคือ component ตัวตรวจจับไฟล์ใหม่ที่ช่วยให้ผู้โจมตีค้นหาและแยกไฟล์เฉพาะออกจากสภาพแวดล้อมของเหยื่อ ซึ่งข้อมูลเหล่านี้จะถูกขโมยผ่าน HTTPS โดยใช้ Telegram API
https://www.bleepingcomputer.com/news/security/typhon-info-stealing-malware-devs-upgrade-evasion-capabilities/