ThirdEye bilgi hırsızı şu anda kasabada olsa da, araştırmacılar şimdiden kurbanların verilerini hedefleyen birkaç varyantını belirlediler.
FortiGuard Labs, üstünkörü bir inceleme sırasında şüpheli dosyaları analiz ederken o kadar da karmaşık olmayan ancak son derece kötü niyetli bir bilgi hırsızını ortaya çıkardı. Buna ThirdEye Infostealer adını verdiler. Fred Gutierrez, James Slaughter ve Shunichi Imano’nun hazırladığı rapora göre, araştırmacılar Rusça “” başlıklı bir arşiv dosyasını gördükten sonra şüphelenmeye başladılar.Табель учета рабочего времени.zip“, İngilizce dilinde “zaman çizelgesi” anlamına gelir.
Bu dosya, her ikisi de bir .exe uzantısı ve belgeyle ilgili başka bir uzantı dahil olmak üzere çift uzantılı iki ek dosya içeriyordu. Bu dosyalardan birinin adı “CMK Правила оформления больничных листов.pdf.exe”
Başlık, İngilizce dilinde “Hastalık izni vermek için KYS Kuralları” anlamına gelir. Daha fazla araştırma, araştırmacıların daha önce Nisan 2023’ün başından beri tespit ettikleri ThirdEye bilgi hırsızı örneklerinde gördükleri özellikleri ortaya çıkardı.
ThirdEye ThirdEye Infostealer’ın Çeşitli Sürümleri Keşfedildi
ThirdEye bilgi hırsızının en erken örneği 3 Nisan 2023 12:36:37 GMT’de keşfedildi. Bu örnek client_hash, OS_type, host_name ve user_name bilgilerini topladı ve C2 sunucusuna gönderdi “(glovatickets(.)ru/ch3ckState)” özel bir web isteği başlığı ile: Çerez: 3rd_eye=. 4 Nisan 2023 tarihinde dosya tarama servisine gönderilmiştir.
Birkaç hafta sonra, araştırmacılar 26 Nisan 09:56:55 GMT derleme zaman damgasına sahip bir değişken buldular. Bu varyant, BIOS satıcısı ve yayın tarihi, RAM boyutu, CPU çekirdek numarası, kullanıcının masaüstü dosya listesi, cihazdaki kayıtlı kullanıcıların listesi ve ağ arayüzü verileri dahil olmak üzere ek veriler topladı. Ancak bu sürüm bazı sanal makinelerde çöküyor.
Bir gün sonra, tek bir değişiklikle yeni bir değişken buldular: PDF simgesi kullanıyordu. Bu değişken kullanılan “(ohmycars” C2 iletişimi olarak.(.)ru/ch3ckState)
Daha sonra, C sürücüsündeki toplam ve boş disk alanı, etki alanı adı, ağ bağlantı noktaları listesi, programların listesi ve sürüm numaraları, systemUptime, CD-ROM, sürücü harfleri hacim bilgisi, şu anda çalışan işlemler gibi ek verileri toplayan başka bir varyant bulundu. listesi ve Program Dosyaları dizininde yüklü programlar.
Arşivdeki başka bir dosyanın adı “Табель учета рабочего времени.xls.exeaynı etkinlikleri gerçekleştirebilen bir ThirdEye bilgi hırsızı çeşididir.
ThirdEye Infostealer’ın İşlevleri
FortiGuard Labs araştırmacıları, blog yazılarında, ThirdEye Infostealer’ın virüslü cihazlardan BIOS ve donanım bilgileri dahil olmak üzere sistem verilerini çalabileceğini ortaya çıkardı. Ayrıca klasör dosyalarını, çalışan işlemleri ve ağ verilerini numaralandırabilir.
Yürütme üzerine, bilgi hırsızı verileri hızlı bir şekilde toplar ve “” adresinde barındırılan bir C2 sunucusuna iletir.shlalala(.)ru/ch3ckState” Bunun dışında ThirdEye Infostealer başka bir işlev gerçekleştirmez.
Araştırma sırasında ilginç bir özellik fark edildi – bu kötü amaçlı yazılım ailesinin adını türettikleri 3. göz adlı bir dizi. Kötü amaçlı yazılım bu dizenin şifresini çözer ve C2 sunucusunu tanımlamak için başka bir karma değerle kullanır. ThirdEye bilgi hırsızı çok karmaşık değil; ancak, hızla gelişiyor. Son zamanlarda toplanan bazı örnekler, daha önce keşfedilen sürümlerden daha fazla sistem verisi çaldı.
Ayrıca araştırmacılar, bilgi hırsızının orta önem düzeyine sahip Windows tabanlı sistemleri hedef aldığını belirtti. Şu anda ThirdEye Infostealer’ın saldırılarda kullanıldığına dair bir kanıt yok.
Ancak güvenliği ihlal edilmiş cihazlardan ve sistemlerden veri toplamak üzere tasarlandığından, siber suçlular için saldırı başlatmada kullanışlı olabilir. Araştırmacılar, ThirdEye Infostealer’ın önceki ve en son varyantlarının hepsinin Rusça olarak adlandırıldığına inanıyor, bu nedenle saldırgan muhtemelen Rusça konuşan kuruluşları kötü amaçlı yazılım dağıtmak için izliyor.
İLGİLİ MAKALELER
- Legion: Telegram’da Satılan SMS Hijacking Kötü Amaçlı Yazılımı
- Yeni Jupyter bilgi hırsızı, MSI yükleyicisine düştü
- Kötü Amaçlı ChatGPT Yükleyicileri RedLine Stealer Dağıtıyor
- Infostealer Adrozek kötü amaçlı yazılımı Firefox ve Chrome tarayıcıyı vurdu
- macOS Catalina Cihazlarını Hedefleyen Yeni MacStealer Kötü Amaçlı Yazılımı