Новый Windows-вредонос ThirdEye собирает конфиденциальные данные жертв

Новый Windows-вредонос ThirdEye собирает конфиденциальные данные жертв

Новый Windows-вредонос ThirdEye собирает конфиденциальные данные жертв

На ландшафте киберугроз появилась ранее не упоминавшаяся вредоносная программа для Windows — ThirdEye. По функциональности она представляет собой классический инфостилер (похищающий данные жертвы зловред).

На ThirdEye указали исследователи из команды Fortinet FortiGuard Labs. Специалисты отметили, что им попался исполняемый файл, замаскированный под PDF-документ (уровень детекта на VirusTotal).

Интересно, что файл содержал имя на русском языке — «CMK Правила оформления больничных листов.pdf.exe». Точный вектор распространения эксперты пока не называли, однако ряд зацепок дал понять, что вредонос, скорее всего, попадает в системы жертв с помощью фишинга.

Самый первый образец ThirdEye появился на VirusTotal 4 апреля 2023 года. Тогда инфостилер ещё не обладал богатой функциональностью, то есть был на начальной стадии разработки. Обосновавшись на устройстве, ThirdEye собирает следующие сведения:

  • дата выпуска и производитель BIOS;
  • объём свободного места на диске C;
  • запущенные процессы;
  • имена зарегистрированных пользователей;
  • другие данные о диске.

Вся собранная информация отправляется на командный сервер (C2). Отличительной чертой «третьего глаза» является использование строки “3rd_eye“ для уведомления сервера о своём присутствии.

Специалисты отмечают множество артефактов вредоноса, загруженных на VirusTotal, — все они якобы закачивались с территории России. Из этого эксперты сделали вывод, что ThirdEye предназначен для атак на российские организации.

Напомним, на этой неделе в Сети выловили троянизированный инсталлятор Super Mario 3 для Windows, заражающий геймеров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в UEFI Shell позволяет обойти Secure Boot на 200 000 ноутов

При разборе шелл-кода UEFI, подписанного сертификатом Microsoft, исследователи из Eclypsium обнаружили уязвимость, которую, по их словам, можно описать лишь как встроенный бэкдор — притом с доверенной подписью.

Легитимные инструменты диагностики предоставляли возможность получения доступа к памяти на чтение/запись с помощью команды mm (memory modify).

Оказавшись в руках злоумышленника, подобный инструмент позволяет эффективно нейтрализовать защиту Secure Boot и загрузить в систему любой код, в том числе буткит или руткит.

В доказательство своих выводов эксперты продемонстрировали атаку на Security Architectural Protocol, отвечающий за соблюдение политик Secure Boot в процессе начальной загрузки:

 

Уязвимые командные оболочки были обнаружены в прошивках UEFI, распространяемых в качестве обновления для Linux-компьютеров Framework. Тестирование с помощью специально созданных скриптов показало, что это не единственный затронутый вендор.

Получив уведомление, в Framework Computer удостоверились в наличии проблемы, определили охват (несколько моделей ноутбуков и десктопов, суммарно около 200 тыс. устройств) и в срочном порядке стали исправлять ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru