נוזקת גניבת מידע חדשה בשם ThirdEye נצפתה מתמקדת במשתמשי מערכת ההפעלה Windows. חטיבת מחקר האיומים של חברת אבטחת הסייבר Fortinet – תיארה את האיום החדש במאמר טכני שפורסם השבוע. במסגרתו, אמרה החברה שנוזקת ThirdEye נועדה לחלץ מידע מערכת בעל ערך ממכונות שנפגעו, מידע אשר יכול לשמש במתקפות סייבר עתידיות. FortiGuard הסבירה עוד כי בעוד שנוזקת ThirdEye אינה נחשבת משוכללת מבחינה טכנית, היכולות שלה כוללות קצירת BIOS ונתוני חומרה, ספירת קבצים ותיקיות, זיהוי תהליכים פעילים ואיסוף מידע רשת: "אמנם נוזקה זו אינה נחשבת מתוחכמת, אך היא נועדה לגנוב מידע מגוון ממכונות שנפגעו, מידע שיכול לשמש אבני קפיצה למתקפות סייבר עתידיות", נכתב על ידי FortiGuard.
לאחר איסוף המידע של המערכת שנפגעה, שולחת אותו הנוזקה לשרת פקודה ושליטה (C2). יש לציין כי נוזקת גניבת המידע הזו משתמש במחרוזת ייחודית 3rd_eye כדי לזהות את עצמה בפני ה- C2. ניתוח הדגימות העלה שהגרסה המוקדמת ביותר של הנוזקה שהתגלתה באפריל 2023, אספה מידע מוגבל בהשוואה לדגימות העדכניות יותר. עם הזמן התפתחה הנוזקה והוסיפה יכולות נוספות של איסוף נתונים. יתר על כן, רוב גרסאות ThirdEye הוגשו לשירות סריקה ציבורי ברוסיה ולגרסה האחרונה יש שם קובץ ברוסית, מה שמצביע על התמקדות פוטנציאלית בארגונים דוברי רוסית.
Fortinet הדגישה שלמרות שאין ראיות קונקרטיות לשימוש ב- ThirdEye במתקפות סייבר, על מנהלי הגנה על מידע להיזהר מנוזקה זו: "למרות ש- ThirdEye עדיין לא נחשבת מתוחכמת, החקירה שלנו גילתה שפושעי הסייבר השקיעו מאמצים בשיפור גנב המידע, כמו איסוף יותר מידע מערכת בהשוואה לגרסאות ישנות יותר", כתבה Fortinet והוסיפה כי צפוי שפיתוח הנוזקה יימשך.
גנב המידע החדש מגיע על רקע עלייה בסוג זה של נוזקות, כאשר נתונים עדכניים של Secureworks מצביעים על עלייה משמעותית בהימצאות לוגים גנובים בשוק הרוסי המקוון.
