Нападателите маскират зловреден софтуер CryptBot като кракове за нови игри и софтуер от професионално ниво. Изследователите на киберсигурността в Ahn Lab откриха нова кампания за разпространение на CryptBot, крадец на информация, способен да извлича запазени пароли на браузъра, бисквитки, история на браузъра, данни от крипто портфейла, информация за кредитни карти и файлове от компрометирани крайни точки.
Кампанията се състои в създаване на редица уебсайтове, популяризиращи кракове за компютърни игри и софтуер на професионално ниво. Тези сайтове и целеви страници са правилно оптимизирани за търсачките и се класират доста високо на страниците с резултати от търсачките за всички подходящи заявки.
Не само това, нападателите използват както собствените си домейни, така и сайтове, хоствани на AWS, и в някои случаи пренасочват посетителите многократно, преди да стигнат до страницата за доставка. Това означава, че самата целева страница може да е на легитимен, но хакнат сайт.
Самият зловреден софтуер също е претърпял редица големи промени. Изследователите казват, че програмата е станала по-лека и е загубила няколко функции, за да се скрие по-добре и да се разпространява по-лесно. В същото време защитната функция беше премахната Пясъчник за поверителност, както и възможност за правене на екранни снимки. Зловреден софтуер вече не може да събира данни в TXT файлове на работния плот и вече няма втора C2 връзка и папка за ексфилтрация. В последната версия на зловреден софтуер има само анти-VM проверка на броя на процесорните ядра, както и едно съединение C2 за кражба на информация. В същото време нападателите изглежда постоянно актуализират своите C2 и сайтове за капкомер, казват изследователите.
„Кодът показва, че при изпращане на файлове методът за ръчно добавяне на данните от изпратения файл към заглавката е променен на метод, който използва прост API. Стойността на потребителския агент при изпращане също беше променена“, съобщават изследователите в публикация в блог. Новата версия също изглежда работи правилно на всички версии на Chrome, докато старите версии работеха само на Chrome 81 - 95.
Прочетете също: