Typhon Stealer

Typhon est une menace de vol qui peut compromettre les informations confidentielles appartenant à ses victimes, causant des problèmes potentiellement graves. La menace Typhon est écrite à l'aide du langage de programmation C# et a eu de nombreuses versions publiées dans le cadre de son développement. Les versions peuvent être fonctionnellement divisées en deux groupes différents. Les anciennes variantes de Typhon ont une gamme plus large de capacités menaçantes, tandis que les nouvelles versions suivies comme Typhon Reborn ou TyphonReborn sont plus rationalisées et axées sur la collecte de données.

Capacités menaçantes

Une fois que le Typhon Stealer a été déployé avec succès sur l'appareil cible, il commencera ses opérations en collectant des informations d'empreintes digitales sur le système. La menace collectera les détails du matériel, la version du système d'exploitation, le nom de la machine, le nom d'utilisateur, la résolution d'écran actuelle, etc. De plus, le logiciel malveillant tentera d'extraire les mots de passe Wi-Fi, d'obtenir une liste des processus en cours d'exécution et de rechercher les anti -outils de sécurité contre les logiciels malveillants. Typhon peut prendre le contrôle des caméras connectées pour prendre des photos arbitraires. Les attaquants sont également capables de manipuler le système de fichiers sur les appareils piratés.

Les capacités de vol de données de Typhon lui permettent de compromettre un large éventail d'informations confidentielles. La menace peut extraire des données de nombreuses applications, clients de chat et de messagerie, VPN, applications de jeu, etc. Il peut collecter les historiques de navigation des victimes, les téléchargements, les pages mises en signet, les cookies, les identifiants de compte, les numéros de carte de crédit et d'autres données enregistrées dans le navigateur. Les pirates pourraient également essayer de collecter des portefeuilles de crypto-monnaie à partir des extensions de navigateur Google Chrome ou Edge.

Anciennes versions de Typhon

Les versions antérieures de la menace étaient équipées d'un ensemble plus diversifié de fonctionnalités intrusives. Typhon a pu établir des routines d'enregistrement de frappe robustes et sophistiquées, qui ne se déclenchent que lorsque la victime visite un site bancaire en ligne ou une page avec un contenu soumis à une limite d'âge. Pour retirer de l'argent des transactions cryptographiques, Typhon surveille le presse-papiers du système comme une menace de clipper. S'il détecte que la victime a copié et enregistré une adresse de crypto-portefeuille, la menace la remplacera par une nouvelle adresse sous le contrôle des pirates.

Selon les objectifs des cybercriminels, les anciennes versions de Typhon pourraient être chargées de détourner les ressources matérielles des appareils infectés et de les exploiter dans une opération de crypto-minage. Les systèmes concernés verront leur capacité matérielle utilisée pour l'extraction d'une crypto-monnaie choisie. Certaines versions de Typhon exploitaient la plate-forme Discord pour se propager d'une manière similaire aux menaces de vers.