يخفي المهاجمون برامج CryptBot الضارة على أنها شقوق للألعاب الجديدة والبرامج الاحترافية. اكتشف باحثو الأمن السيبراني في Ahn Lab حملة توزيع CryptBot جديدة ، وهي أداة معلومات قادرة على استخراج كلمات مرور المتصفح المحفوظة وملفات تعريف الارتباط وسجل المتصفح وبيانات محفظة التشفير ومعلومات بطاقة الائتمان والملفات من نقاط النهاية المخترقة.
تتكون الحملة من إنشاء عدد من المواقع الإلكترونية التي تروج للتصدعات لألعاب وبرامج الكمبيوتر ذات المستوى الاحترافي. تم تحسين هذه المواقع والصفحات المقصودة بشكل صحيح لمحركات البحث وتحتل مرتبة عالية جدًا في صفحات نتائج محرك البحث لجميع الاستعلامات ذات الصلة.
ليس ذلك فحسب ، بل يستخدم المهاجمون نطاقاتهم الخاصة ومواقعهم المستضافة على AWS ، وفي بعض الحالات يعيدون توجيه الزوار عدة مرات قبل وصولهم إلى صفحة التسليم. هذا يعني أن الصفحة المقصودة نفسها قد تكون على موقع شرعي ولكن تم الاستيلاء عليه.
كما خضع البرنامج الضار نفسه لعدد من التغييرات الرئيسية. يقول الباحثون إن البرنامج أصبح أخف وزنا وفقد العديد من الميزات للاختباء بشكل أفضل والانتشار بسهولة أكبر. في نفس الوقت ، تمت إزالة وظيفة الحماية حماية الخصوصية، بالإضافة إلى القدرة على التقاط لقطات شاشة. لم يعد بإمكان البرامج الضارة جمع البيانات في ملفات TXT على سطح المكتب ، ولم يعد لديها اتصال C2 ومجلد تسلل ثاني. في الإصدار الأخير من البرنامج الضار ، لا يوجد سوى فحص مضاد لـ VM على عدد مراكز المعالج ، بالإضافة إلى مركب C2 واحد لسرقة المعلومات. يقول الباحثون إنه في الوقت نفسه ، يبدو أن المهاجمين يقومون باستمرار بتحديث مواقع C2 ومواقع القطارة.
"يوضح الرمز أنه عند إرسال الملفات ، تم تغيير طريقة إضافة بيانات الملف المرسل يدويًا إلى الرأس إلى طريقة تستخدم واجهة برمجة تطبيقات بسيطة. كما تم تغيير قيمة وكيل المستخدم عند إرسالها "، كما أفاد الباحثون في مشاركة مدونة. يبدو أيضًا أن الإصدار الجديد يعمل بشكل صحيح على جميع إصدارات Chrome ، بينما كانت الإصدارات القديمة تعمل فقط على Chrome 81-95.
اقرأ أيضا: