Криптомайнер Typhon Stealer отбросил ненужное, чтобы получить новое.

В начале августа 2022 года команда Cyble Research Labs обнаружила новый криптомайнер Typhon Stealer. Недавно эксперты выявили обновленную версию под названием Typhon Reborn. Обе версии имеют возможность красть криптокошельки, отслеживать нажатия клавиш и обходить антивирусные продукты.

В новой версии Typhon Reborn улучшены методы антианализа и добавлены новые функции для кражи данных и файлов.

Новые функции Typhon Reborn, перечисленные в Telegram-канале операторов

В своем Telegram-канале автор Typhon Reborn также заявил, что текущая цена вредоносное ПО составляет $100 за пожизненную лицензию.

Новые функции Typhon Reborn включают:

  • список заблокированных имен пользователей и страны;
  • новые клиенты для сообщений;
  • перехватчик криптовалюты из расширений для Google Chrome и Microsoft Edge (Binance, Metamask, Bitapp, Coin98 и другие).

Автор также удалил несколько существующих функций — кейлоггер, а также функции перехвата буфера обмена и криптомайнинга. Эксперты предположили, что удаление этих функций должно снизить вероятность обнаружения антивирусом. По словам разработчика Typhon Reborn, удаленные опции в будущем будут перенесены в отдельные проекты автора.

Функция антианализа Typhon Reborn после запуска запускает метод под названием MeltSelf, который уничтожает процесс угрозы и удаляет себя с диска. Примечательно, что после попадания в систему Typhon Reborn проводит несколько проверок, прежде чем запускать процесс MeltSelf. При соблюдении следующих условий, процесс MeltSelf запускается автоматически.

  • Проверка аргументов отладки (Если аргумент командной строки содержит слово «—debug»);
  • Проверка размера физического диска (Если диск Windows 7 и 10 меньше 30 ГБ, а в Windows 11 – меньше 70 ГБ);
  • Проверка процессов анализа вредоносного ПО (Если система защиты обнаружит Typhon Reborn);
  • Проверка на наличие единственного экземпляра (Если запущено несколько экземпляров вредоносного ПО, Typhon Reborn прекратит работу, чтобы избежать конкуренции экземпляров за системные ресурсы);
  • Проверка имени пользователя (Если ВПО запускается под определенным именем пользователя );
  • Проверка страны (Если пользователь из стран СНГ).

Typhon Reborn также собирает дополнительные данные о жертве и отправляет их в Telegram-канал оператора:

  • Имя пользователя;
  • Информация об операционной системе;
  • Установленное антивирусное ПО;
  • Информация о беспроводной сети и пароли Wi-Fi-сети;
  • Данные сетевого интерфейса;
  • Язык.

Typhon Stealer предоставляет злоумышленникам простой в использовании конструктор. Настраиваемые конфигурации Typhon Reborn снижают требуемый набор технических навыков для потенциальных клиентов. Новые методы антианализа Typhon Reborn развиваются в соответствии с отраслевыми тенденциями, становятся более эффективными в тактике уклонения и расширяют набор инструментов для кражи данных жертв.

Источник: securitylab