Newly Uncovered ThirdEye Windows-Based Malware Steals Sensitive Data
มัลแวร์ Windows-Based ThirdEye ที่เพิ่งค้นพบใหม่ขโมยข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ติดไวรัส Fortinet FortiGuard Labs ซึ่งทำการค้นพบนี้กล่าวว่าพบมัลแวร์ในไฟล์ปฏิบัติการที่ปลอมแปลงเป็นไฟล์ PDF ที่มีชื่อภาษารัสเซียว่า CMK Правила оформления больничных листов.pdf.exe ซึ่งแปลว่า กฎ CMK ในการออกใบลาป่วย pdf.exe ขณะนี้ยังไม่ทราบการมาถึงของมัลแวร์ แม้ว่าการล่อลวงจะชี้ไปที่มีการใช้ในแคมเปญฟิชชิ่ง แต่ตัวอย่าง ThirdEye แรกถูกอัปโหลดไปยัง VirusTotal เมื่อวันที่ 4 เมษายน 2023 โดยมีฟีเจอร์ค่อนข้างน้อย
ลักษณะที่โดดเด่นของมัลแวร์คือใช้สตริง 3rd_eye เพื่อติดต่อไปยังเซิร์ฟเวอร์ C2 แต่ไม่มีสัญญาณบ่งชี้ว่ามีการใช้ ThirdEye เนื่องจากสิ่งตัวมัลแวร์ขโมยข้อมูลส่วนใหญ่จะถูกอัปโหลดไปยัง VirusTotal จากรัสเซีย จึงเป็นไปได้ว่ากิจกรรมที่เป็นอันตรายมุ่งเป้าไปที่องค์กรทใช้ภาษารัสเซีย แม้ว่ามัลแวร์นี้จะไม่ได้มีความซับซ้อน แต่มันถูกออกแบบมาเพื่อขโมยข้อมูลต่างๆ จากเครื่องที่ถูกบุกรุก ซึ่งสามารถใช้สำหรับการโจมตีในอนาคต การพัฒนาดังกล่าวเกิดขึ้นเนื่องจากตัวติดตั้งโทรจันสำหรับแฟรนไชส์วิดีโอเกม Super Mario Bros ซึ่งกำลังถูกใช้เพื่อเผยแพร่ตัวขุด cryptocurrency และตัวขโมยโอเพ่นซอร์สที่เขียนด้วยภาษา C# ที่เรียกว่า Umbral ซึ่งจะกรองข้อมูลที่น่าสนใจโดยใช้ Discord Webhooks นอกจากนี้ผู้เล่นวิดีโอเกมยังตกเป็นเป้าหมายของแรนซัมแวร์ที่ใช้ Python และ remote access trojan ที่มีชื่อว่า SeroXen ซึ่งพบว่าใช้ประโยชน์จากเครื่องมือสร้างความสับสนให้กับไฟล์แบทช์ที่รู้จักกันในชื่อ ScrubCrypt (หรือที่เรียกว่า BatCloak) เพื่อหลบเลี่ยงการตรวจจับ หลักฐานแสดงให้เห็นว่าผู้โจมตีที่เกี่ยวข้องกับการพัฒนาของ SeroXen ได้มีส่วนร่วมในการสร้าง ScrubCrypt ด้วยเช่นกัน
มัลแวร์ตัวนี้ได้มีการโฆษณาขายบนเว็บไซต์ที่ลงทะเบียนเมื่อวันที่ 27 มีนาคม 2566 ก่อนปิดตัวในปลายเดือนพฤษภาคม ได้รับการโปรโมตเพิ่มเติมบน Discord, TikTok, Twitter และ YouTube SeroXen เวอร์ชันแคร็ก Trend Micro ขอแนะนำให้ผู้ใช้งานที่พบลิงก์และชุดซอฟต์แวร์ที่เกี่ยวข้องกับคำต่างๆ เช่น cheats, hacks, cracks และซอฟต์แวร์อื่นๆ ให้ระวังการดาวน์โหลดหากต้องการดาวน์ซอฟแวร์ต่างควรเป็นเว็บไซต์ที่เป็นทางและน่าเชื่อถือเท่านั้น
https://thehackernews.com/2023/06/newly-uncovered-thirdeye-windows-based.html