新出现的ThirdEye Infostealer针对Windows设备

目前,ThirdEye infostealer已表现出高度恶意的行为,尽管其模式并不复杂。虽然ThirdEye信息窃取者现已出现,但研究人员已经发现了它的几个变体,所有这些变体都针对受害者的数据。

FortiGuard实验室在粗略审查期间分析可疑文件时发现了一个不太复杂但高度恶意的信息窃取者。他们将这个命名为 ThirdEye Infostealer。根据弗雷德·古铁雷斯(Fred Gutierrez)、詹姆斯·斯劳特(James Slaughter)和今野俊一(Shunichi Imano)撰写的报告,研究人员在发现一份名为“”的俄语档案文件(英语中的意思是“Табель учета рабочего времени.zip时间表”)后产生了怀疑。

该文件包含两个附加文件,两个文件都有双扩展名,包括一个.exe扩展名和另一个与文档相关的扩展名。其中一个文件的标题是“CMK Правила оформления больничных листов.pdf.exe.”。

标题在英语中的意思是“QMS 发放病假的规则”。进一步的调查揭示了研究人员之前在ThirdEye信息窃取者样本中发现的特征,他们自2023年4月上旬以来一直在检测这些样本。

ThirdEye infostealer的最早样本于2023年4月3日格林尼治标准时间12:36:37发现。该样本收集了client_hash、OS_type、host_name和user_name,并将其发送到C2服务器“(glovatickets(.)ru/ch3ckState)”,并带有自定义Web请求标头:Cookie:3rd_eye=。它于2023年4月4日提交给文件扫描服务。

几周后,研究人员发现了一个编译时间戳为4月26日09:56:55 GMT的变体。该变体收集了额外的数据,包括BIOS供应商和发布日期、RAM大小、CPU核心数量、用户的桌面文件列表、设备上的注册用户列表以及网络接口数据。但是,该版本在某些虚拟机中会崩溃。

一天后,他们发现了一个新变体,只有一个变化:它使用了PDF图标。该变体使用“ ”作为C2通信。(ohmycars(.)ru/ch3ckState)

后来,又发现了另一个变种,它收集了额外的数据,例如C盘上的总磁盘空间和可用磁盘空间、域名、网络端口列表、程序和版本号列表、系统正常运行时间、CD-ROM、驱动器盘符卷信息、当前运行的进程列表以及Program Files目录中安装的程序。

存档中的另一个文件名为“Табель учета рабочего времени.xls.exe”,它是ThirdEye infosteale 变体,能够执行相同的活动。

FortiGuard实验室的研究人员在博客文章中透露,ThirdEye Infostealer可以从受感染的设备中窃取系统数据,包括BIOS和硬件信息。此外,它还可以枚举文件夹文件、正在运行的进程和网络数据。

执行后,信息窃取者会快速收集数据并将其传输到托管在“shlalala(.)ru/ch3ckState.”的C2服务器。除此之外,ThirdEye Infostealer不执行任何其他功能。

在研究过程中,发现了一个有趣的功能 - 一个名为3rd Eye的字符串,他们从中得出了该恶意软件家族的名称。恶意软件解密该字符串并将其与另一个哈希值一起使用来识别C2服务器。ThirdEye信息窃取程序并不太复杂;然而,它正在快速发展。最近收集的一些样本比之前发现的版本窃取了更多的系统数据。

此外,研究人员指出,信息窃取者的目标是基于Windows的系统,严重程度为中等。目前没有证据表明ThirdEye Infostealer已被用于攻击。

然而,由于它旨在从受感染的设备和系统收集数据,因此它可以在网络犯罪分子发起攻击时派上用场。研究人员认为,ThirdEye Infostealer的所有先前和最新变体均以俄语命名,因此攻击者可能着眼于俄语组织来部署恶意软件。

发表评论

评论已关闭。

相关文章