مهاجمان بدافزار CryptBot را به عنوان کرک بازیهای جدید و نرمافزارهای حرفهای پنهان میکنند. محققان امنیت سایبری در آزمایشگاه Ahn یک کمپین توزیع CryptBot جدید کشف کردهاند، یک سرقت اطلاعات اطلاعاتی که قادر به استخراج رمزهای عبور ذخیرهشده مرورگر، کوکیها، تاریخچه مرورگر، دادههای کیف پول کریپتو، اطلاعات کارت اعتباری و فایلها از نقاط پایانی در معرض خطر است.
این کمپین شامل ایجاد تعدادی وبسایت است که کرکهای بازیها و نرمافزارهای رایانهای در سطح حرفهای را تبلیغ میکنند. این سایتها و صفحات فرود بهدرستی برای موتورهای جستجو بهینهسازی شدهاند و در صفحات نتایج موتورهای جستجو برای همه پرسشهای مرتبط رتبه بالایی دارند.
نه تنها این، مهاجمان هم از دامنه های خود و هم از سایت های میزبانی شده در AWS استفاده می کنند و در برخی موارد بازدیدکنندگان را قبل از رسیدن به صفحه تحویل چندین بار هدایت می کنند. این بدان معنی است که صفحه فرود ممکن است در یک سایت قانونی اما هک شده باشد.
خود این بدافزار نیز دستخوش تغییرات عمده ای شده است. محققان می گویند که این برنامه سبک تر شده و چندین ویژگی را برای مخفی شدن بهتر و انتشار آسان تر از دست داده است. در همان زمان، عملکرد حفاظت حذف شد حریم خصوصی Sandboxو همچنین امکان گرفتن اسکرین شات. این بدافزار دیگر نمیتواند دادهها را در فایلهای TXT روی دسکتاپ جمعآوری کند، و دیگر اتصال C2 و پوشه exfiltration دوم ندارد. در آخرین نسخه بدافزار، فقط یک بررسی ضد VM روی تعداد هستههای پردازنده و همچنین یک ترکیب C2 برای سرقت اطلاعات وجود دارد. محققان می گویند در همان زمان، به نظر می رسد مهاجمان دائماً سایت های C2 و dropper خود را به روز می کنند.
«کد نشان میدهد که هنگام ارسال فایلها، روش افزودن دستی دادههای فایل ارسالی به هدر به روشی تغییر کرده است که از یک API ساده استفاده میکند. محققان در یک پست وبلاگ گزارش دادند که ارزش عامل کاربر هنگام ارسال نیز تغییر کرد. به نظر میرسد نسخه جدید روی همه نسخههای کروم به درستی کار میکند، در حالی که نسخههای قدیمی فقط روی کروم 81 - 95 کار میکردند.
همچنین بخوانید: