ThirdEye, il nuovo infostealer per Windows

Un infostealer basato su Windows fino ad ora non documentato sarebbe stato scoperto in natura da Fortinet FortiGuard Labs.

ThirdEye

Chiamato ThirdEye, il malware con capacità di raccogliere dati sensibili dalle macchine infette, si presume venga distribuito in campagne di phishing tramite un eseguibile mascherato da file PDF o XLS a tema congedo per malattia (i file intercettati da Fortinet avrebbero nomi in lingua russa).

File esca PDF (Fonte Fortinet)
File esca Excel (Fonte Fortinet)

Rispetto al primo campione di ThirdEye caricato su VirusTotal, i ricercatori affermano che le ultime varianti avrebbero più funzionalità, segno che lo stealer sarebbe in evoluzione.

Poiché la maggior parte dei campioni dello stealer sarebbe stata caricata su VirusTotal dalla Russia, secondo Fortinet le vittime potrebbero essere per il momento solo organizzazioni di lingua russa.

Funzionalità

Come altre famiglie di malware simili, ThirdEye sarebbe in grado di raccogliere metadati di sistema, come la data di rilascio del BIOS, lo spazio su disco, i processi attualmente in esecuzione e gli utenti registrati nel sistema. Tutti questi dettagli accumulati verrebbero quindi trasmessi a un server di comando e controllo C2. A tal proposito una caratteristica del malware che ha ispirato l’assegnazione del nome da parte dei ricercatori è l’utilizzo della stringa “3rd_eye” per segnalare la propria presenza al server C2.

Consigli

Anche se questo malware non sia particolarmente sofisticato, essendo stato concepito per rubare varie informazioni dai dispositivi compromessi, potrebbe essere comunque utilizzato per allestire attacchi successivi e prendere di mira anche altri paesi.

Si consiglia di valutare l’implementazione degli IoC pubblicati da Fortinet.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.