Typhon Stealer

O  Typhon é uma ameaça que rouba dados, o que pode comprometer informações confidenciais pertencentes a suas vítimas, causando problemas potencialmente graves. A ameaça Typhon é escrita usando a linguagem de programação C# e teve várias versões lançadas como parte de seu desenvolvimento. As versões podem ser funcionalmente divididas em dois grupos diferentes. As variantes mais antigas do Typhon têm uma gama mais ampla de recursos ameaçadores, enquanto as versões mais recentes rastreadas como o Typhon Reborn ou TyphonReborn são mais simplificadas e focadas na coleta de dados.

Capacidades Ameaçadoras

Depois que o Typhon Stealer for implantado com sucesso no dispositivo visado, ele iniciará suas operações coletando informações de impressão digital sobre o sistema. A ameaça coletará detalhes de hardware, versão do sistema operacional, nome da máquina, nome de usuário, resolução de tela atual etc. Além disso, o malware tentará extrair senhas de Wi-Fi, obter uma lista dos processos em execução no momento e verificar se há ferramentas de segurança ant-malware. Typhon pode assumir controle sobre as câmeras conectadas para tirar fotos arbitrárias. Os invasores também são capazes de manipular o sistema de arquivos nos dispositivos violados.

Os recursos de roubo de dados do Typhon permitem que ele comprometa uma ampla gama de informações confidenciais. A ameaça pode extrair dados de vários aplicativos, clientes de bate-papo e mensagens, VPNs, aplicativos de jogos e muito mais. Ele pode coletar históricos de navegação das vítimas, downloads, páginas marcadas, cookies, credenciais de contas, números de cartão de crédito e outros dados salvos no navegador. Os hackers também podem tentar coletar carteiras de cripto-moedas das extensões do navegador Google Chrome ou Edge.

Versões Mais Antigas do Typhon

As versões anteriores da ameaça foram equipadas com um conjunto mais diversificado de funcionalidades intrusivas. O Typhon conseguiu estabelecer rotinas robustas e sofisticadas de keylogging, que só serão acionadas quando a vítima visitar um site de banco on-line ou uma página com conteúdo restrito por idade. Para tirar dinheiro de transações com crip-moedas, o Typhon monitora a área de transferência do sistema como uma ameaça de clipper. Se detectar que a vítima copiou e salvou um endereço de carteira de cripto-moeda, a ameaça o substituiria por um novo endereço sob o controle dos hackers.

Dependendo dos objetivos dos cibercriminosos, as versões mais antigas do Typhon podem ser instruídas a sequestrar os recursos de hardware dos dispositivos infectados e explorá-los em uma operação de mineração de cripto-moeda. Os sistemas afetados terão sua capacidade de hardware utilizada para minerar uma cripto=moeda escolhida. Algumas versões do Typhon exploraram a plataforma Discord para se espalhar de maneira semelhante às ameaças de worm.