29/06/23
Новое вредоносное ПО для Windows, способное похищать конфиденциальные данные с заражённых компьютеров, было обнаружено исследователями из Fortinet FortiGuard Labs. Они назвали его «ThirdEye» («третий глаз») и отметили, что ранее данное программное обеспечение не фигурировало в базах антивирусов.
Метод распространения этого вредоносного кода пока неизвестен, но по всей видимости, он использует фишинговые кампании, пишут в Securitylab. Исследователи нашли его в исполняемом файле, который маскировался под PDF-документ с русским названием «CMK Правила оформления больничных листов.pdf.exe». Первый образец ThirdEye был загружен на VirusTotal 4 апреля 2023 года и имел относительно небольшой функционал.
ThirdEye способен собирать метаданные системы, такие как дата выпуска и производитель BIOS, общий/свободный объем диска C, текущие процессы, имена пользователей, информация о томах. Собранные данные затем передается на C2-сервер злоумышленников. Отличительной чертой вредоносного кода является то, что он использует строку «3rd_eye» для связи с C2-сервером.
Пока нет признаков того, что ThirdEye активно использовался в кибератаках. Однако большинство образцов вредоносного кода были загружены на VirusTotal из России, что может свидетельствовать о том, что хакеры нацеливаются на русскоязычные организации.
«Хотя этот вредоносный код не является сложным, он предназначен для кражи различной информации с заражённых машин, которая может быть использована как отправная точка для будущих атак», — сказали исследователи Fortinet, добавив, что собранные данные «ценны для понимания и сужения круга потенциальных целей».
Крайне важно сохранять бдительность и не открывать сомнительные файлы, полученные от неизвестных отправителей или скачанные с подозрительных сайтов, особенно если они имеют двойное расширение. Также рекомендуется использовать надежный антивирус и регулярно обновлять его, чтобы надёжно защитить свою информацию от новых угроз.
