L’acteur de la menace derrière le logiciel malveillant de vol d’informations connu sous le nom de Typhon Reborn a refait surface avec une version mise à jour (V2) qui intègre des capacités améliorées pour échapper à la détection et résister à l’analyse.

La nouvelle version est proposée à la vente sur le réseau criminel pour 59 $ par mois, 360 $ par an, ou alternativement, pour 540 $ pour un abonnement à vie.

« Le voleur peut récolter et exfiltrer des informations sensibles et utilise l’API Telegram pour envoyer des données volées aux attaquants », a déclaré le chercheur de Cisco Talos, Edmund Brumaghin, dans un rapport publié mardi.

Typhon a été documenté pour la première fois par Cyble en août 2022, détaillant ses innombrables fonctionnalités, notamment le détournement du contenu du presse-papiers, la capture de captures d’écran, l’enregistrement des frappes au clavier et le vol de données du portefeuille crypto, de la messagerie, du FTP, du VPN, du navigateur et des applications de jeu.

Basé sur un autre malware voleur appelé Prynt Stealer, Typhon est également capable de fournir le mineur de crypto-monnaie XMRig. En novembre 2022, l’unité 42 de Palo Alto Networks a mis au jour une version mise à jour baptisée Typhon Reborn.

« Cette nouvelle version a augmenté les techniques d’anti-analyse et elle a été modifiée pour améliorer les fonctionnalités de vol et de capture de fichiers », a déclaré l’unité 42, soulignant la suppression de fonctionnalités existantes telles que l’enregistrement de frappe et l’extraction de crypto-monnaie dans une tentative apparente de réduire les chances de détection. .

La dernière variante V2, selon Cisco Talos, a été commercialisée par son développeur le 31 janvier 2023 sur le forum Web sombre en russe XSS.

« Le voleur Typhon Reborn est une version fortement remaniée et améliorée de l’ancien et instable Typhon Stealer », a déclaré l’auteur du logiciel malveillant, en plus de vanter son prix bon marché et l’absence de toute porte dérobée.

Comme d’autres logiciels malveillants, V2 est livré avec des options pour éviter d’infecter les systèmes situés dans les pays de la Communauté des États indépendants (CEI). Il exclut toutefois notamment l’Ukraine et la Géorgie de la liste.

En plus d’incorporer plus de contrôles anti-analyse et anti-virtualisation, Typhon Reborn V2 supprime ses fonctionnalités de persistance, choisissant plutôt de se terminer après l’exfiltration des données.

Le logiciel malveillant transmet finalement les données collectées dans une archive compressée via HTTPS à l’aide de l’API Telegram, marquant un abus continu de la plate-forme de messagerie.

« Une fois que les données ont été transmises avec succès à l’attaquant, l’archive est ensuite supprimée du système infecté », a déclaré Brumaghin. « Le logiciel malveillant appelle alors [une fonction d’auto-suppression] pour mettre fin à l’exécution. »

Les découvertes surviennent alors que Cyble a révélé un nouveau malware voleur basé sur Python nommé Creal qui cible les utilisateurs de crypto-monnaie via des sites de phishing imitant des services légitimes de minage de crypto comme Kryptex.

Le logiciel malveillant n’est pas différent de Typhon Reborn en ce sens qu’il est équipé pour siphonner les cookies et les mots de passe des navigateurs Web basés sur Chromium ainsi que les données des applications de messagerie instantanée, de jeu et de portefeuille crypto.

Cela dit, le code source du malware est disponible sur GitHub, permettant ainsi à d’autres acteurs de la menace de modifier le malware en fonction de leurs besoins et d’en faire une menace puissante.

« Creal Stealer est capable d’exfiltrer des données à l’aide de webhooks Discord et de plusieurs plates-formes d’hébergement et de partage de fichiers telles que Anonfiles et Gofile », a déclaré Cyble dans un rapport publié la semaine dernière.

« La tendance à utiliser du code open source dans les logiciels malveillants augmente parmi les cybercriminels, car cela leur permet de créer des attaques sophistiquées et personnalisées avec des dépenses minimes. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *