关于新发现的ThirdEye基于Windows恶意软件窃取敏感数据动态情报

一、基本内容

近期，Fortinet FortiGuard Labs发现了一款名为ThirdEye的先前未记录的基于Windows的信息窃取程序。该恶意软件伪装成PDF文件，其俄语名称为“CMK Правила оформления больничных листов.pdf.exe”，翻译过来就是“发放病假的 CMK 规则.pdf.exe”。该实验室表示，尽管诱饵的性质表明它被用于网络钓鱼活动，但该恶意软件的到达量目前尚不清楚。第一个ThirdEye样本于2023年4月4日上传到Virus Total，功能相对较少。

二、相关发声情况情况

ThirdEye能够收集系统元数据，包括BIOS发布日期和供应商、C驱动器上的总/可用磁盘空间、当前正在运行的进程、注册用户名和卷信息。然后，收集到的详细信息会传输到命令与控制（C2）服务器。该恶意软件的一个显着特征是它使用字符串“3rd_eye”向C2服务器表明其存在。目前尚未发现ThirdEye已在使用，但考虑到大多数窃取程序都是从俄罗斯上传到VirusTotal，因此恶意活动很可能针对的是俄语组织。Fortinet研究人员表示，尽管这种恶意软件并不复杂，但它的目的是从受感染的机器中窃取各种信息，这些信息可用作未来攻击的垫脚石，收集到的数据对于理解和缩小潜在目标的范围非常有价值。

与此同时，一些木马安装程序被用来传播加密货币矿工和一个名为Umbral的开源窃取程序。这些木马安装程序通常伪装成流行的《超级马里奥兄弟》视频游戏系列。Cyble表示，挖矿和盗窃活动的结合会导致经济损失、受害者系统性能大幅下降以及宝贵系统资源的耗尽。此外，视频游戏用户还成为基于Python的勒索软件和名为SeroXen的远程访问木马的目标。SeroXen利用名为ScrubCrypt（又名BatCloak）的商业批处理文件混淆引擎来逃避检测。有证据表明，与SeroXen开发相关的参与者也为ScrubCrypt的创建做出了贡献。SeroXen在2023年3月27日注册的Clearnet网站上进行了销售广告，随后于5月底关闭，并在社交媒体上进一步推广。Trend Micro建议个人在遇到与“作弊”、“黑客”、“破解”等术语相关的链接和软件包时保持怀疑态度。这些恶意软件的发现突显了FUD混淆器的发展，其进入门槛较低。这些近乎业余的方法使用社交媒体进行积极推广，考虑到如何轻松追踪，使得这些开发人员看起来就像新手。

三、分析研判

在当前案例中出现的网络攻击为恶意软件，可能会造成以下危害：

1. 隐私泄露：恶意软件可以获取用户的个人信息、账号密码、浏览历史等敏感数据，进而泄露用户的隐私。

2. 身份盗窃：通过窃取系统元数据，恶意软件可以获取用户的身份信息，包括姓名、身份证号码、银行账号等，从而进行身份盗窃和金融欺诈活动。

3. 金融损失：恶意软件可以窃取用户的银行账号和支付密码，从而进行非法转账、盗取财产等操作，导致用户遭受经济损失。

4. 恶意操控：恶意软件可以窃取系统元数据，获取用户的设备信息和操作习惯，进而操控用户的设备，例如远程控制摄像头、窃听麦克风等，对用户进行监视和操纵。

5. 网络攻击：恶意软件可以利用窃取的系统元数据，进行网络攻击，例如发起DDoS攻击、传播病毒、入侵其他系统等，给网络安全带来威胁。

四、应对策略

在日常网络安全防护中，我们可以采用以下方法来预防和及时发现恶意软件：

1. 安装可信的安全软件：选择一个可信的安全软件，并定期更新其病毒库和软件版本，以确保能够及时发现和阻止恶意软件的入侵。

2. 注意下载来源：避免从不可信的网站或第三方应用商店下载软件，尽量选择官方渠道或可信的下载源。

3. 谨慎点击链接和附件：不要随意点击来自陌生人或不可信来源的链接，尤其是在电子邮件、社交媒体或即时通讯应用中。同时，不要打开来自不可信来源的附件。

4. 更新操作系统和应用程序：及时更新操作系统和应用程序的补丁和安全更新，以修复已知的漏洞和弱点，减少被恶意软件利用的风险。

5. 设置强密码：使用强密码来保护你的设备和在线账户，避免使用简单的密码或者重复使用相同的密码。

6. 谨慎使用公共Wi-Fi：在使用公共Wi-Fi时，尽量避免访问敏感信息和进行重要的在线交易，以防止恶意软件通过网络攻击入侵你的设备。

7. 定期备份数据：定期备份重要的数据和文件，以防止数据丢失或被恶意软件加密勒索。

8. 教育自己和他人：了解常见的恶意软件类型和攻击手段，提高自己的安全意识，并与他人分享相关的安全知识