Les développeurs du voleur d’informations Typhon ont annoncé sur un forum Web sombre qu’ils avaient mis à jour le logiciel malveillant vers une version majeure qu’ils annoncent sous le nom de « Typhon Reborn V2 ».
Ils bénéficient d’améliorations significatives conçues pour contrecarrer l’analyse via des mécanismes anti-virtualisation.
Le Typhon original a été découvert par des analystes de logiciels malveillants en août 2022. Cyble Research Labs l’a analysé à l’époque et a découvert que le logiciel malveillant combinait le composant principal du voleur avec un clipper, un enregistreur de frappe et un crypto-mineur.
Alors que la version initiale était vendue via Telegram pour un paiement unique à vie de 50 $, les développeurs de logiciels malveillants ont également proposé de distribuer Typhon pour environ 100 $ pour 1 000 victimes.
Les analystes de Cisco Talos rapportent que la nouvelle version a commencé à être promue sur le dark web depuis janvier et a été achetée plusieurs fois. Cependant, les chercheurs ont découvert des échantillons de la dernière version dans la nature datant de décembre 2022.
Nouvelles différences de version
Selon Cisco Talos, la base de code de Typhon V2 a été fortement modifiée pour rendre le code malveillant plus robuste, fiable et stable.
L’obscurcissement des chaînes a été amélioré à l’aide de l’encodage Base64 et de XOR, ce qui rend l’analyse du logiciel malveillant plus difficile.
Les chercheurs ont remarqué un mécanisme plus complet pour éviter l’infection des machines d’analyse, le logiciel malveillant examinant désormais un plus large éventail de critères, notamment les noms d’utilisateur, les CPUID, les applications, les processus, les vérifications du débogueur/émulation et les données de géolocalisation avant d’exécuter les routines malveillantes. .
Le logiciel malveillant peut exclure les pays de la Communauté des États indépendants (CEI) ou suivre une liste de géolocalisation personnalisée fournie par l’utilisateur.
La nouvelle fonctionnalité la plus notable est le processus de Typhon pour vérifier s’il fonctionne sur l’environnement d’une victime, et non sur un hôte simulé sur l’ordinateur d’un chercheur.
Cela inclut la vérification des informations GPU, la présence de DLL associées aux logiciels de sécurité, le contrôleur vidéo pour les indicateurs VM, la vérification des registres, les noms d’utilisateur et même la vérification de la présence de Wine, un émulateur de Windows.
Plus de capacités de vol
Les capacités de collecte de données ont été étendues dans la dernière version de Typhon, car elle cible désormais un plus grand nombre d’applications, y compris les clients de jeu. Cependant, il semble que la fonctionnalité ne fonctionne toujours pas car elle était inactive dans les échantillons analysés par Cisco Talos.
Typhon cible toujours plusieurs clients de messagerie, applications de messagerie, applications de portefeuille de crypto-monnaie et extensions de navigateur, clients FTP, clients VPN et informations stockées dans les navigateurs Web. Il peut également capturer des captures d’écran de l’appareil compromis.
Une autre nouvelle fonctionnalité est un nouveau composant de saisie de fichiers qui permet aux opérateurs de rechercher et d’exfiltrer des fichiers spécifiques de l’environnement de la victime.
Les données sont volées via HTTPS à l’aide de l’API Telegram, qui était également la méthode de choix dans la version originale du logiciel malveillant.
L’émergence de Typhon Reborn V2 représente une évolution significative pour le MaaS et confirme l’engagement des développeurs dans le projet.
L’analyse de Cisco Talos peut aider les chercheurs en logiciels malveillants à trouver des mécanismes de détection appropriés pour la nouvelle version de Typhon, car son coût et ses capacités relativement faibles sont susceptibles d’augmenter sa popularité.
Les indicateurs de compromission (IoC) pour Typhon v2 sont disponibles dans le référentiel de Cisco Talos sur GitHub .