Angreifer tarnen die CryptBot-Malware als Cracks für neue Spiele und professionelle Software. Cybersicherheitsforscher von Ahn Lab haben eine neue CryptBot-Verteilungskampagne entdeckt, einen Infostealer, der gespeicherte Browserpasswörter, Cookies, Browserverlauf, Krypto-Wallet-Daten, Kreditkarteninformationen und Dateien von kompromittierten Endpunkten extrahieren kann.
Die Kampagne besteht aus der Erstellung einer Reihe von Websites, die für Cracks für Computerspiele und Software auf professionellem Niveau werben. Diese Websites und Zielseiten sind ordnungsgemäß für Suchmaschinen optimiert und rangieren auf den Ergebnisseiten der Suchmaschinen für alle relevanten Suchanfragen recht weit oben.
Darüber hinaus verwenden die Angreifer sowohl ihre eigenen Domänen als auch auf AWS gehostete Websites und leiten Besucher in einigen Fällen mehrmals um, bevor sie die Bereitstellungsseite erreichen. Dies bedeutet, dass sich die Zielseite selbst möglicherweise auf einer legitimen, aber gehackten Website befindet.
Auch die Malware selbst hat eine Reihe größerer Änderungen erfahren. Forscher sagen, dass das Programm leichter geworden ist und mehrere Funktionen verloren hat, um sich besser zu verstecken und sich leichter zu verbreiten. Gleichzeitig wurde die Schutzfunktion entfernt Datenschutz Sandbox, sowie die Möglichkeit, Screenshots zu machen. Die Malware kann keine Daten mehr in TXT-Dateien auf dem Desktop sammeln und hat keine zweite C2-Verbindung und keinen Exfiltrationsordner mehr. In der neuesten Version der Malware gibt es nur noch eine Anti-VM-Prüfung der Anzahl der Prozessorkerne sowie eine einzelne C2-Verbindung für Informationsdiebstahl. Gleichzeitig scheinen Angreifer ihre C2- und Dropper-Sites ständig zu aktualisieren, sagen Forscher.
"Der Code zeigt, dass beim Senden von Dateien die Methode zum manuellen Hinzufügen der Daten der gesendeten Datei zum Header in eine Methode geändert wurde, die eine einfache API verwendet. Der Wert von User-Agent beim Senden wurde ebenfalls geändert“, berichteten die Forscher in einem Blogbeitrag. Die neue Version scheint auch auf allen Versionen von Chrome korrekt zu funktionieren, während die alten Versionen nur auf Chrome 81 - 95 funktionierten.
Lesen Sie auch: