Napadači prikrivaju CryptBot malver kao krekove za nove igre i softver na profesionalnom nivou. Istraživači kibernetičke sigurnosti u Ahn Lab-u otkrili su novu kampanju distribucije CryptBot-a, infostealer-a koji je sposoban izvući sačuvane lozinke pretraživača, kolačiće, historiju pretraživača, podatke kripto novčanika, podatke o kreditnim karticama i datoteke sa kompromitovanih krajnjih tačaka.
Kampanja se sastoji od kreiranja brojnih web stranica koje promoviraju krekove za kompjuterske igre i softver na profesionalnom nivou. Ove stranice i odredišne stranice su pravilno optimizirane za tražilice i rangiraju se prilično visoko na stranicama rezultata tražilice za sve relevantne upite.
I ne samo to, napadači koriste i vlastite domene i web stranice hostirane na AWS-u, au nekim slučajevima više puta preusmjeravaju posjetitelje prije nego što stignu do stranice za isporuku. To znači da sama odredišna stranica može biti na legitimnom, ali hakovanom web mjestu.
Sam zlonamjerni softver je također doživio niz velikih promjena. Istraživači kažu da je program postao lakši i izgubio nekoliko funkcija kako bi se bolje sakrio i lakše proširio. Istovremeno je uklonjena zaštitna funkcija Peščanik o privatnosti, kao i mogućnost snimanja ekrana. Zlonamjerni softver više ne može prikupljati podatke u TXT datotekama na radnoj površini i više nema drugu C2 vezu i mapu za eksfiltraciju. U najnovijoj verziji zlonamjernog softvera postoji samo anti-VM provjera broja procesorskih jezgara, kao i jedno jezgro C2 za krađu informacija. U isto vrijeme, čini se da napadači stalno ažuriraju svoje C2 i dropper stranice, kažu istraživači.
„Kôd pokazuje da je prilikom slanja datoteka metoda ručnog dodavanja podataka poslane datoteke u zaglavlje promijenjena u metodu koja koristi jednostavan API. Vrijednost korisničkog agenta prilikom slanja je također promijenjena”, objavili su istraživači u blogu. Čini se da nova verzija također radi ispravno na svim verzijama Chromea, dok su stare verzije radile samo na Chromeu 81 - 95.
Pročitajte također: