Новый Windows-вредонос ThirdEye собирает конфиденциальные данные жертв

Новый Windows-вредонос ThirdEye собирает конфиденциальные данные жертв

Новый Windows-вредонос ThirdEye собирает конфиденциальные данные жертв

На ландшафте киберугроз появилась ранее не упоминавшаяся вредоносная программа для Windows — ThirdEye. По функциональности она представляет собой классический инфостилер (похищающий данные жертвы зловред).

На ThirdEye указали исследователи из команды Fortinet FortiGuard Labs. Специалисты отметили, что им попался исполняемый файл, замаскированный под PDF-документ (уровень детекта на VirusTotal).

Интересно, что файл содержал имя на русском языке — «CMK Правила оформления больничных листов.pdf.exe». Точный вектор распространения эксперты пока не называли, однако ряд зацепок дал понять, что вредонос, скорее всего, попадает в системы жертв с помощью фишинга.

Самый первый образец ThirdEye появился на VirusTotal 4 апреля 2023 года. Тогда инфостилер ещё не обладал богатой функциональностью, то есть был на начальной стадии разработки. Обосновавшись на устройстве, ThirdEye собирает следующие сведения:

  • дата выпуска и производитель BIOS;
  • объём свободного места на диске C;
  • запущенные процессы;
  • имена зарегистрированных пользователей;
  • другие данные о диске.

Вся собранная информация отправляется на командный сервер (C2). Отличительной чертой «третьего глаза» является использование строки “3rd_eye“ для уведомления сервера о своём присутствии.

Специалисты отмечают множество артефактов вредоноса, загруженных на VirusTotal, — все они якобы закачивались с территории России. Из этого эксперты сделали вывод, что ThirdEye предназначен для атак на российские организации.

Напомним, на этой неделе в Сети выловили троянизированный инсталлятор Super Mario 3 для Windows, заражающий геймеров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

F6 выявила сеть мошеннических ресурсов по продаже ветпрепаратов

Компания F6 выявила сеть из 20 телеграм-каналов и фейковый сайт ветеринарной клиники. Мошенники обманывали владельцев домашних животных, предлагая по 100% предоплате поставки импортных ветеринарных препаратов, ставших дефицитом из-за санкций.

По данным F6, злоумышленники действуют под брендом «Зооаптека PRO». Их схема работает с мая, однако, как сообщает ТАСС, первые жалобы от пострадавших появились ещё в апреле.

Чаще всего мошенники предлагают купить препараты против блох и клещей – «Бравекто», «Симпарику», «Апоквел», NexGard. Эти средства стали труднодоступными после введения санкций, а указанные цены близки к рыночным, что делает предложения правдоподобными.

Как отмечают в F6, сайт и телеграм-каналы злоумышленников индексируются в российских поисковиках. Кроме того, создан отдельный канал с поддельными положительными отзывами, где нельзя оставлять комментарии. При этом в компании уточняют, что до конца не установили, каким именно образом мошенники привлекают новых жертв.

Заказы принимаются через аккаунт «менеджера» в одном из телеграм-каналов. Реквизиты для оплаты постоянно меняются, а от покупателей требуют полную предоплату. После этого с клиентом связывается «логист».

Если человек требует вернуть деньги, запускается второй этап атаки: жертву направляют на сайт-двойник банка и просят заполнить форму с полными платёжными реквизитами. В результате средства списываются повторно. Средний ущерб от одной «покупки» составляет 7–10 тысяч рублей.

Мошеннические схемы с предоплатой применяются уже не первый год. Так, осенью 2020 года фиксировалась волна атак с использованием клонов сайта ЦИАН. В 2025 году подобные схемы применялись при сборе предзаказов на новинки Apple, продаже «горящих» туров и мошенничестве вокруг обхода утильсбора на автомобили.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru