Typhon Stealer

Typhon è una minaccia stealer che può compromettere le informazioni riservate appartenenti alle sue vittime, causando problemi potenzialmente gravi. La minaccia Typhon è scritta utilizzando il linguaggio di programmazione C# e ha avuto numerose versioni rilasciate come parte del suo sviluppo. Le versioni possono essere suddivise funzionalmente in due diversi gruppi. Le varianti precedenti di Typhon hanno una gamma più ampia di capacità minacciose, mentre le versioni più recenti tracciate come Typhon Reborn o TyphonReborn sono più snelle e focalizzate sulla raccolta dei dati.

Capacità minacciose

Una volta che il Typhon Stealer è stato distribuito con successo sul dispositivo di destinazione, inizierà le sue operazioni raccogliendo informazioni sulle impronte digitali sul sistema. La minaccia raccoglierà i dettagli dell'hardware, la versione del sistema operativo, il nome della macchina, il nome utente, l'attuale risoluzione dello schermo, ecc. -strumenti di sicurezza malware. Typhon può assumere il controllo delle telecamere collegate per scattare foto arbitrarie. Gli aggressori sono anche in grado di manipolare il file system sui dispositivi violati.

Le capacità di furto di dati di Typhon gli consentono di compromettere un'ampia gamma di informazioni riservate. La minaccia può estrarre dati da numerose applicazioni, client di chat e messaggistica, VPN, applicazioni di gioco e altro ancora. Può raccogliere cronologie di navigazione delle vittime, download, pagine con segnalibri, cookie, credenziali dell'account, numeri di carte di credito e altri dati salvati nel browser. Gli hacker potrebbero anche provare a raccogliere portafogli di criptovaluta dalle estensioni del browser Google Chrome o Edge.

Versioni precedenti di Typhon

Le versioni precedenti della minaccia erano dotate di una serie più diversificata di funzionalità invasive. Typhon è stato in grado di stabilire routine di keylogging robuste e sofisticate, che si attivano solo quando la vittima visita un sito di banking online o una pagina con contenuti soggetti a limiti di età. Per prelevare denaro dalle transazioni crittografiche, Typhon monitora gli appunti del sistema come una minaccia clipper. Se rileva che la vittima ha copiato e salvato un indirizzo di crypto-wallet, la minaccia lo sostituirà con un nuovo indirizzo sotto il controllo degli hacker.

A seconda degli obiettivi dei criminali informatici, alle versioni precedenti di Typhon potrebbe essere richiesto di dirottare le risorse hardware dei dispositivi infetti e sfruttarle in un'operazione di cripto-mining. I sistemi interessati avranno la loro capacità hardware utilizzata per il mining di una criptovaluta scelta. Alcune versioni di Typhon hanno sfruttato la piattaforma Discord per diffondersi in modo simile alle minacce worm.