Οι επιτιθέμενοι συγκαλύπτουν το κακόβουλο λογισμικό CryptBot ως ρωγμές για νέα παιχνίδια και λογισμικό επαγγελματικού επιπέδου. Οι ερευνητές κυβερνοασφάλειας στο Ahn Lab ανακάλυψαν μια νέα καμπάνια διανομής CryptBot, έναν infostealer ικανό να εξάγει αποθηκευμένους κωδικούς πρόσβασης προγράμματος περιήγησης, cookies, ιστορικό προγράμματος περιήγησης, δεδομένα κρυπτογραφικού πορτοφολιού, πληροφορίες πιστωτικών καρτών και αρχεία από παραβιασμένα τελικά σημεία.
Η καμπάνια αποτελείται από τη δημιουργία ενός αριθμού ιστοσελίδων που προωθούν σπασίματα για παιχνίδια και λογισμικό υπολογιστή επαγγελματικού επιπέδου. Αυτοί οι ιστότοποι και οι σελίδες προορισμού έχουν βελτιστοποιηθεί κατάλληλα για τις μηχανές αναζήτησης και κατατάσσονται αρκετά ψηλά στις σελίδες αποτελεσμάτων μηχανών αναζήτησης για όλα τα σχετικά ερωτήματα.
Όχι μόνο αυτό, οι εισβολείς χρησιμοποιούν τόσο τους δικούς τους τομείς όσο και τους ιστότοπους που φιλοξενούνται στο AWS και σε ορισμένες περιπτώσεις ανακατευθύνουν τους επισκέπτες πολλές φορές πριν φτάσουν στη σελίδα παράδοσης. Αυτό σημαίνει ότι η ίδια η σελίδα προορισμού μπορεί να βρίσκεται σε έναν νόμιμο αλλά παραβιασμένο ιστότοπο.
Το ίδιο το κακόβουλο λογισμικό έχει επίσης υποστεί μια σειρά από σημαντικές αλλαγές. Οι ερευνητές λένε ότι το πρόγραμμα έχει γίνει πιο ελαφρύ και έχει χάσει αρκετές δυνατότητες για να κρύβεται καλύτερα και να εξαπλώνεται πιο εύκολα. Ταυτόχρονα, αφαιρέθηκε η λειτουργία προστασίας Πλαίσιο απορρήτου, καθώς και τη δυνατότητα λήψης στιγμιότυπων οθόνης. Το κακόβουλο λογισμικό δεν μπορεί πλέον να συλλέγει δεδομένα σε αρχεία TXT στην επιφάνεια εργασίας και δεν έχει πλέον δεύτερη σύνδεση C2 και φάκελο εξαγωγής. Στην πιο πρόσφατη έκδοση του κακόβουλου λογισμικού, υπάρχει μόνο έλεγχος anti-VM στον αριθμό των πυρήνων του επεξεργαστή, καθώς και μία μόνο ένωση C2 για κλοπή πληροφοριών. Ταυτόχρονα, οι επιτιθέμενοι φαίνεται να ενημερώνουν συνεχώς τις ιστοσελίδες C2 και dropper, λένε οι ερευνητές.
"Ο κώδικας δείχνει ότι κατά την αποστολή αρχείων, η μέθοδος της μη αυτόματης προσθήκης των δεδομένων του απεσταλμένου αρχείου στην κεφαλίδα έχει αλλάξει σε μια μέθοδο που χρησιμοποιεί ένα απλό API. Η αξία του user-agent κατά την αποστολή άλλαξε επίσης», ανέφεραν οι ερευνητές σε μια ανάρτηση ιστολογίου. Η νέα έκδοση φαίνεται επίσης να λειτουργεί σωστά σε όλες τις εκδόσεις του Chrome, ενώ οι παλιές εκδόσεις λειτουργούσαν μόνο στο Chrome 81 - 95.
Διαβάστε επίσης: