عادت جهة التهديد وراء البرنامج الضار لسرقة المعلومات المعروفة باسم Typhon Reborn إلى الظهور بإصدار محدث (V2) يحتوي على إمكانات محسّنة لتفادي الاكتشاف ومقاومة التحليل.
يتم عرض الإصدار الجديد للبيع في موقع الجريمة السرية مقابل 59 دولارًا في الشهر ، أو 360 دولارًا في السنة ، أو بدلاً من ذلك ، مقابل 540 دولارًا للاشتراك مدى الحياة.
وقال الباحث في سيسكو تالوس ، إدموند بروماجين ، في تقرير يوم الثلاثاء: "يمكن للسارق أن يحصد ويسرب المعلومات الحساسة ويستخدم Telegram API لإرسال البيانات المسروقة إلى المهاجمين" .
تم توثيق Typhon لأول مرة بواسطة Cyble في أغسطس 2022 ، حيث يوضح بالتفصيل ميزاته التي لا تعد ولا تحصى ، بما في ذلك اختطاف محتوى الحافظة ، والتقاط لقطات الشاشة ، وتسجيل ضغطات المفاتيح ، وسرقة البيانات من محفظة التشفير ، والرسائل ، و FTP ، و VPN ، والمتصفح ، وتطبيقات الألعاب.
استنادًا إلى برمجيات خبيثة أخرى تسمى Prynt Stealer ، فإن Typhon قادر أيضًا على توصيل XMRig cryptocurrency miner. في نوفمبر 2022 ، كشفت Palo Alto Networks Unit 42 عن نسخة محدثة يطلق عليها Typhon Reborn.
قالت الوحدة 42: "لقد زاد هذا الإصدار الجديد من تقنيات مكافحة التحليل وتم تعديله لتحسين ميزات المخترق والمختطف" ، مشيرة إلى إزالة الميزات الحالية مثل تدوين المفاتيح وتعدين العملات المشفرة في محاولة واضحة لتقليل فرص الاكتشاف. .
تم تسويق أحدث متغير V2 ، لكل Cisco Talos ، بواسطة مطوره في 31 يناير 2023 ، في منتدى الويب المظلم باللغة الروسية XSS.
قال مؤلف البرنامج الضار: "Typhon Reborn stealer هو نسخة مُعاد بناؤها ومحسّنة بشكل كبير من Typhon Stealer الأقدم وغير المستقر" ، بالإضافة إلى الترويج لسعره الرخيص وغياب أي أبواب خلفية.
مثل البرامج الضارة الأخرى ، يأتي V2 مع خيارات لتجنب إصابة الأنظمة الموجودة في دول رابطة الدول المستقلة (CIS). ومع ذلك ، فإنه يستبعد بشكل خاص أوكرانيا وجورجيا من القائمة.
إلى جانب دمج المزيد من عمليات الفحص المضادة للتحليل ومكافحة المحاكاة الافتراضية ، يزيل Typhon Reborn V2 ميزات استمراره ، ويختار بدلاً من ذلك إنهاء نفسه بعد إخراج البيانات.
تنقل البرامج الضارة في النهاية البيانات التي تم جمعها في أرشيف مضغوط عبر HTTPS باستخدام Telegram API ، مما يشير إلى استمرار إساءة استخدام نظام المراسلة.
قال Brumaghin: "بمجرد أن يتم نقل البيانات بنجاح إلى المهاجم ، يتم حذف الأرشيف من النظام المصاب". "ثم تستدعي البرامج الضارة [وظيفة حذف ذاتي] لإنهاء التنفيذ."
تأتي هذه النتائج في الوقت الذي كشفت فيه Cyble عن برنامج ضار جديد للسرقة قائم على Python يُسمى Creal والذي يستهدف مستخدمي العملات المشفرة عبر مواقع التصيد التي تحاكي خدمات التعدين المشروعة مثل Kryptex.
لا تختلف البرامج الضارة عن Typhon Reborn من حيث أنها مجهزة لسرقة ملفات تعريف الارتباط وكلمات المرور من متصفحات الويب المستندة إلى Chromium وكذلك البيانات من تطبيقات المراسلة الفورية والألعاب ومحفظة التشفير.
ومع ذلك ، فإن الكود المصدري للبرامج الضارة متاح على GitHub ، مما يسمح لممثلي التهديد الآخرين بتعديل البرامج الضارة لتناسب احتياجاتهم وتجعلها تهديدًا قويًا.
قال Cyble في تقرير نُشر الأسبوع الماضي: "إن Creal Stealer قادر على إخراج البيانات باستخدام خطاطيف الويب Discord والعديد من منصات استضافة الملفات ومشاركتها مثل Anonfiles و Gofile" .
"يتزايد اتجاه استخدام التعليمات البرمجية مفتوحة المصدر في البرامج الضارة بين مجرمي الإنترنت ، حيث يتيح لهم إنشاء هجمات متطورة ومخصصة بأقل نفقات."