Hücumçular CryptBot zərərli proqram təminatını yeni oyunlar və peşəkar səviyyəli proqram təminatı üçün çatlar kimi maskalayırlar. Ahn Laboratoriyasının kibertəhlükəsizlik üzrə tədqiqatçıları saxlanmış brauzer parollarını, kukiləri, brauzer tarixçəsini, kripto pul kisəsi məlumatlarını, kredit kartı məlumatlarını və pozulmuş son nöqtələrdən faylları çıxara bilən yeni CryptBot paylama kampaniyasını kəşf etdilər.
Kampaniya peşəkar səviyyəli kompüter oyunları və proqram təminatı üçün çatları təbliğ edən bir sıra vebsaytların yaradılmasından ibarətdir. Bu saytlar və açılış səhifələri axtarış motorları üçün düzgün optimallaşdırılıb və bütün müvafiq sorğular üçün axtarış motorunun nəticələri səhifələrində kifayət qədər yüksək yer tutur.
Nəinki bu, təcavüzkarlar həm öz domenlərindən, həm də AWS-də yerləşdirilən saytlardan istifadə edir və bəzi hallarda ziyarətçiləri çatdırılma səhifəsinə çatmazdan əvvəl dəfələrlə yönləndirirlər. Bu o deməkdir ki, açılış səhifəsinin özü qanuni, lakin sındırılmış saytda ola bilər.
Zərərli proqramın özü də bir sıra böyük dəyişikliklərə məruz qalıb. Tədqiqatçılar deyirlər ki, proqram daha yüngülləşib və daha yaxşı gizlənmək və daha asan yayılmaq üçün bir neçə funksiyanı itirib. Eyni zamanda, qoruma funksiyası da aradan qaldırıldı Məxfilik Sandbox, həmçinin ekran görüntüləri çəkmək imkanı. Zərərli proqram artıq masaüstündəki TXT fayllarında məlumat toplaya bilmir və onun artıq ikinci C2 bağlantısı və eksfiltrasiya qovluğu yoxdur. Zərərli proqramın son versiyasında yalnız prosessor nüvələrinin sayına dair anti-VM yoxlaması, həmçinin məlumat oğurluğu üçün tək C2 birləşməsi var. Eyni zamanda, təcavüzkarlar C2 və dropper saytlarını daim yeniləyirlər, tədqiqatçılar deyirlər.
“Kod göstərir ki, fayllar göndərilərkən göndərilən faylın məlumatlarının başlığa əl ilə əlavə edilməsi üsulu sadə API istifadə edən metoda dəyişdirilib. Göndərilən zaman istifadəçi-agentin dəyəri də dəyişdirildi”, - tədqiqatçılar bloq yazısında bildiriblər. Yeni versiya həmçinin Chrome-un bütün versiyalarında düzgün işləyir, köhnə versiyalar isə yalnız Chrome 81 - 95-də işləyirdi.
Həmçinin oxuyun: