Een niet-geïdentificeerde bedreigingsacteur is gekoppeld aan een actief in ontwikkeling zijnde malware-toolkit genaamd het “Eternity Project” waarmee professionele en amateur-cybercriminelen stealers, clippers, wormen, miners, ransomware en een gedistribueerde denial-of-service (DDoS)-bot kunnen kopen .
Wat deze malware-as-a-service (MaaS) onderscheidt, is dat het niet alleen een Telegram-kanaal gebruikt om updates over de nieuwste functies te communiceren, maar ook een Telegram Bot waarmee de kopers het binaire bestand kunnen bouwen.
“De [threat actors] bieden een optie in het Telegram-kanaal om de binaire functies aan te passen, wat een effectieve manier biedt om binaire bestanden te bouwen zonder enige afhankelijkheden”, onderzoekers van Cyble zei in een rapport dat vorige week werd gepubliceerd.
Elk van de modules kan afzonderlijk worden gehuurd en biedt betaalde toegang tot een breed scala aan functies –
- Eternity Stealer ($ 260 voor een jaarabonnement) – Siphon-wachtwoorden, cookies, creditcards, browser-cryptocurrency-extensies, crypto-wallets, VPN-clients en e-mailapps vanaf de machine van een slachtoffer en stuurt ze naar de Telegram Bot
- Eeuwigheid Mijnwerker ($ 90 als jaarabonnement) – Misbruik de computerbronnen van een gecompromitteerde machine om cryptocurrency te minen
- Eternity Clipper ($ 110) – Een crypto-clipping-programma dat cryptocurrency steelt tijdens een transactie door het originele portemonnee-adres dat op het klembord is opgeslagen te vervangen door het portemonnee-adres van de aanvaller.
- Eeuwigheid Ransomware ($ 490) – Een uitvoerbare ransomware van 130 kb om alle bestanden van de gebruikers te versleutelen totdat er losgeld is betaald
- Eeuwigheid Worm ($ 390) – Een malware die zich verspreidt via USB-drives, lokale netwerkshares, lokale bestanden en via spamberichten die worden uitgezonden op Discord en Telegram.
- Eternity DDoS-bot (N.v.t.) – Er wordt gezegd dat de functie momenteel in ontwikkeling is.
Cyble wees erop dat er aanwijzingen zijn dat de malware-auteurs bestaande code met betrekking tot: DynamicStealerdat beschikbaar is op GitHub, en het onder een nieuwe naam verhandelt voor winst.
Het is vermeldenswaard dat Jester Stealer, een andere malware die in februari 2022 aan het licht kwam en sindsdien is gebruikt bij phishing-aanvallen tegen Oekraïne, ook dezelfde GitHub-repository gebruikt voor het downloaden van TOR-proxy’s, wat wijst op mogelijke verbanden tussen de twee bedreigingsactoren.
Het cyberbeveiligingsbedrijf zei ook dat het “een aanzienlijke toename van cybercriminaliteit heeft waargenomen via Telegram-kanalen en cybercriminaliteitsforums waar [threat actors] verkopen hun producten zonder enige regelgeving.”
Vorige week onthulde BlackBerry de innerlijke werking van een trojan voor externe toegang genaamd DCRat (ook bekend als DarkCrystal RAT) die tegen goedkope prijzen te koop is op Russische hackforums en een Telegram-kanaal gebruikt voor het delen van details over software en updates van plug-ins.
