Typhon Stealer

Typhon — це загроза-викрадник, яка може скомпрометувати конфіденційну інформацію, що належить її жертвам, спричиняючи потенційно серйозні проблеми. Загроза Typhon написана з використанням мови програмування C# і мала численні версії, випущені в рамках її розробки. Версії можна функціонально розділити на дві різні групи. Старіші варіанти Typhon мають ширший діапазон загрозливих можливостей, тоді як новіші версії, які відстежуються як Typhon Reborn або TyphonReborn, є більш оптимізованими та зосередженими на зборі даних.

Загрозливі можливості

Після того, як Typhon Stealer буде успішно розгорнуто на цільовому пристрої, він почне свою роботу, збираючи інформацію про відбитки пальців системи. Загроза збиратиме відомості про апаратне забезпечення, версію ОС, ім’я комп’ютера, ім’я користувача, поточну роздільну здатність екрана тощо. Крім того, зловмисне програмне забезпечення намагатиметься отримати паролі Wi-Fi, отримати список запущених на даний момент процесів і сканувати встановлені антивірусні програми. - засоби захисту від шкідливих програм. Typhon може керувати підключеними камерами, щоб робити довільні знімки. Зловмисники також можуть маніпулювати файловою системою на зламаних пристроях.

Можливості Typhon щодо крадіжки даних дозволяють скомпрометувати широкий спектр конфіденційної інформації. Загроза може витягувати дані з численних програм, клієнтів чату та обміну повідомленнями, VPN, ігрових програм тощо. Він може збирати історію веб-перегляду жертв, завантаження, сторінки з закладками, файли cookie, облікові дані облікового запису, номери кредитних карток та інші дані, що зберігаються в браузері. Хакери також могли спробувати зібрати криптовалютні гаманці з розширень браузера Google Chrome або Edge.

Старіші версії Typhon

Попередні версії загрози були оснащені більш різноманітним набором втручальних функцій. Typhon зміг створити надійні та складні процедури клавіатурного журналу, які запускаються лише тоді, коли жертва відвідує сайт онлайн-банкінгу або сторінку з вмістом, обмеженим за віком. Щоб отримати гроші з крипто-транзакцій, Typhon відстежує буфер обміну системи як кліпер-загрозу. Якщо виявить, що жертва скопіювала та зберегла адресу криптогаманця, загроза замінить її новою адресою під контролем хакерів.

Залежно від цілей кіберзлочинців, старіші версії Typhon можуть отримати вказівку викрасти апаратні ресурси заражених пристроїв і використовувати їх у крипто-видобутку. Апаратні потужності постраждалих систем використовуватимуться для майнінгу вибраної криптовалюти. Деякі версії Typhon використовували платформу Discord для поширення у спосіб, подібний до загроз черв'яків.