Angribere forklæder CryptBot malware som cracks til nye spil og pro-level software. Cybersikkerhedsforskere ved Ahn Lab har opdaget en ny CryptBot-distributionskampagne, en infostealer, der er i stand til at udtrække gemte browseradgangskoder, cookies, browserhistorik, crypto wallet-data, kreditkortoplysninger og filer fra kompromitterede slutpunkter.
Kampagnen består i at skabe en række websteder, der promoverer cracks til computerspil og software på professionelt niveau. Disse websteder og landingssider er korrekt optimeret til søgemaskiner og rangerer ret højt på søgemaskinens resultatsider for alle relevante forespørgsler.
Ikke nok med det, angriberne bruger både deres egne domæner og websteder hostet på AWS, og i nogle tilfælde omdirigerer de besøgende flere gange, før de når leveringssiden. Det betyder, at selve landingssiden kan være på et legitimt, men hacket websted.
Selve malwaren har også gennemgået en række større ændringer. Forskere siger, at programmet er blevet lettere og har mistet flere funktioner for bedre at skjule og sprede sig lettere. Samtidig blev beskyttelsesfunktionen fjernet Privatlivssandkasse, samt muligheden for at tage skærmbilleder. Malwaren kan ikke længere indsamle data i TXT-filer på skrivebordet, og den har ikke længere en anden C2-forbindelse og eksfiltreringsmappe. I den seneste version af malwaren er der kun et anti-VM-tjek på antallet af processorkerner, samt en enkelt C2-forbindelse til informationstyveri. Samtidig ser det ud til, at angribere konstant opdaterer deres C2- og dropper-sites, siger forskere.
"Koden viser, at når man sender filer, er metoden til manuelt at tilføje data fra den sendte fil til headeren blevet ændret til en metode, der bruger en simpel API. Værdien af user-agent, når den blev sendt, blev også ændret," rapporterede forskerne i et blogindlæg. Den nye version ser også ud til at fungere korrekt på alle versioner af Chrome, hvorimod de gamle versioner kun fungerede på Chrome 81 - 95.
Læs også: