Pengembang pencuri info Typhon mengumumkan di forum web gelap bahwa mereka telah memperbarui malware ke versi utama yang mereka iklankan sebagai ‘Typhon Reborn V2’
Mereka membanggakan peningkatan signifikan yang dirancang untuk menggagalkan analisis melalui mekanisme anti-virtualisasi.
Typhon asli ditemukan oleh analis malware pada Agustus 2022. Laboratorium Penelitian Cyble menganalisisnya pada saat itu dan menemukan bahwa malware menggabungkan komponen pencuri utama dengan clipper, keylogger, dan crypto-miner.
Sementara versi awal dijual melalui Telegram dengan pembayaran seumur hidup sebesar $50, pengembang malware juga menawarkan untuk mendistribusikan Typhon dengan harga sekitar $100 per 1.000 korban.
Laporan analis Cisco Talos bahwa versi baru mulai dipromosikan di web gelap sejak Januari dan telah dibeli berkali-kali. Namun, para peneliti menemukan sampel versi terbaru di alam liar yang bertanggal sejak Desember 2022.
Perbedaan versi baru
Menurut Cisco Talos, basis kode untuk Typhon V2 telah banyak dimodifikasi untuk membuat kode berbahaya lebih kuat, andal, dan stabil.
Kebingungan string telah diperbaiki menggunakan pengkodean Base64 dan XOR, yang membuat analisis malware menjadi tugas yang lebih menantang.
Para peneliti melihat mekanisme yang lebih komprehensif untuk menghindari infeksi mesin analisis, dengan malware sekarang melihat kriteria yang lebih luas, termasuk nama pengguna, CPUID, aplikasi, proses, pemeriksaan debugger/emulasi, dan data geolokasi sebelum menjalankan rutinitas berbahaya. .
Malware dapat mengecualikan negara-negara Commonwealth of Independent States (CIS) atau dapat mengikuti daftar geolokasi khusus yang disediakan pengguna.
Fitur baru yang paling menonjol adalah proses Typhon untuk memeriksa apakah itu berjalan di lingkungan korban, dan bukan host yang disimulasikan di komputer peneliti.
Ini termasuk memeriksa informasi GPU, keberadaan DLL yang terkait dengan perangkat lunak keamanan, pengontrol video untuk indikator VM, melakukan pemeriksaan registri, nama pengguna, dan bahkan memeriksa keberadaan Wine, emulator Windows.
(Cisco)
Lebih banyak kemampuan mencuri
Kemampuan pengumpulan data telah diperluas di versi terbaru Typhon karena sekarang menargetkan lebih banyak aplikasi, termasuk klien game. Namun, sepertinya fitur tersebut masih belum berfungsi karena tidak aktif dalam sampel yang dianalisis oleh Cisco Talos.
Typhon masih menargetkan banyak klien email, aplikasi perpesanan, aplikasi dompet cryptocurrency dan ekstensi browser, klien FTP, klien VPN, dan informasi yang disimpan di browser web. Itu juga dapat menangkap tangkapan layar dari perangkat yang disusupi.
Fitur baru lainnya adalah komponen penangkap file baru yang memungkinkan operator untuk mencari dan mengekstraksi file tertentu dari lingkungan korban.
Data dicuri melalui HTTPS menggunakan API Telegram, yang juga merupakan metode pilihan dalam versi asli malware.
Munculnya Typhon Reborn V2 mewakili evolusi signifikan untuk MaaS dan menegaskan komitmen pengembang terhadap proyek tersebut.
Analisis Cisco Talos dapat membantu peneliti malware menghasilkan mekanisme deteksi yang tepat untuk versi Typhon yang baru, karena biaya dan kemampuannya yang relatif rendah cenderung meningkatkan popularitasnya.
Indikator kompromi (IoCs) untuk Typhon v2 tersedia dari repositori Cisco Talos di GitHub Di Sini.
