Typhon Reborn Stealer恶意软件利用先进的规避技术重新出现

被称为Typhon Reborn的信息窃取恶意软件背后的威胁行为者已经通过更新版本(V2)重新出现，该版本包含改进的功能以逃避检测和抵抗分析。

新版本在criminal underground上以每月59美元、每年360美元或终身订阅540美元的价格出售。

思科Talos研究员Edmund Brumaghin在周二的一份报告中说：“窃取者可以收集和泄露敏感信息，并使用Telegram API将窃取的数据发送给攻击者。”

Cyble于2022年8月首次记录了Typhon，详细介绍了其众多功能，包括劫持剪贴板内容、捕获屏幕截图、记录按键以及从加密钱包、消息传递、FTP、VPN、浏览器和游戏应用程序中窃取数据。

基于另一种名为Prynt Stealer的窃取恶意软件，Typhon还能够提供XMRig加密货币矿工。2022年11月，Palo Alto Networks Unit 42发现了一个名为Typhon Reborn的更新版本。

“这个新版本增加了反分析技术，并进行了修改以改进窃取程序和文件抓取器功能”Unit 42 说，并指出删除了键盘记录和加密货币挖掘等现有功能，显然是为了降低检测机会.

根据Cisco Talos，最新的V2变体由其开发人员于2023年1月31日在俄语暗网XSS论坛上销售。

“Typhon Reborn stealer是对较旧且不稳定的Typhon Stealer进行了大量重构和改进的版本，”恶意软件作者说，此外还吹嘘其价格低廉且没有任何后门程序。

与其他恶意软件一样，V2具有避免感染位于独立国家联合体(CIS)国家/地区的系统的选项。然而，它特别将乌克兰和格鲁吉亚排除在名单之外。

除了结合更多的反分析和反虚拟化检查外，Typhon Reborn V2还删除了其持久性功能，而是选择在泄露数据后自行终止。

该恶意软件最终使用Telegram API通过HTTPS在压缩存档中传输收集的数据，标志着消息传递平台的持续滥用。

“一旦数据成功传输给攻击者，存档就会从受感染的系统中删除，”Brumaghin说。“恶意软件然后调用 [自我删除功能] 来终止执行。”

Cyble披露了一种名为Creal的新的基于Python的窃取恶意软件，该恶意软件通过模仿Kryptex等合法加密挖掘服务的网络钓鱼站点瞄准加密货币用户。

该恶意软件与Typhon Reborn没有什么不同，因为它能够从基于Chromium的网络浏览器中窃取cookie和密码，以及从即时消息、游戏和加密钱包应用程序中窃取数据。

也就是说，该恶意软件的源代码可在GitHub上获得，从而允许其他威胁行为者更改该恶意软件以满足他们的需要，并使其成为一个强大的威胁。

“Creal Stealer能够使用Discord webhook和多个文件托管和共享平台（例如Anonfiles和Gofile）来窃取数据，”Cyble在上周发布的一份报告中说。

“在恶意软件中使用开源代码的趋势在网络犯罪分子中越来越多，因为它允许他们以最少的费用创建复杂和定制的攻击。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5543.html