Hyökkääjät naamioivat CryptBot-haittaohjelmat uusien pelien ja ammattitason ohjelmistojen halkeamia varten. Ahn Labin kyberturvallisuustutkijat ovat löytäneet uuden CryptBot-jakelukampanjan, tietovaraajan, joka pystyy poimimaan tallennettuja selaimen salasanoja, evästeitä, selainhistoriaa, kryptolompakkotietoja, luottokorttitietoja ja tiedostoja vaarantuneista päätepisteistä.
Kampanja koostuu useiden verkkosivustojen luomisesta, jotka mainostavat ammattitason tietokonepelejä ja ohjelmistoja. Nämä sivustot ja aloitussivut on optimoitu oikein hakukoneita varten ja sijoittuvat melko korkealle hakukoneiden tulossivuilla kaikilla asiaankuuluvilla kyselyillä.
Sen lisäksi, että hyökkääjät käyttävät sekä omia verkkotunnuksiaan että AWS:ssä isännöityjä sivustoja, ja joissakin tapauksissa uudelleenohjaavat vierailijat useita kertoja ennen kuin he saapuvat toimitussivulle. Tämä tarkoittaa, että itse aloitussivu voi olla laillisella mutta hakkeroidulla sivustolla.
Haittaohjelma itsessään on myös käynyt läpi useita suuria muutoksia. Tutkijoiden mukaan ohjelma on tullut kevyemmäksi ja menettänyt useita ominaisuuksia piiloutuakseen paremmin ja levittääkseen helpommin. Samalla suojaustoiminto poistettiin Yksityisyyden hiekkalaatikko, sekä mahdollisuus ottaa kuvakaappauksia. Haittaohjelma ei voi enää kerätä tietoja työpöydällä oleviin TXT-tiedostoihin, eikä sillä ole enää toista C2-yhteyttä ja suodatuskansiota. Haittaohjelman uusimmassa versiossa on vain VM-tarkistus suoritinytimien lukumäärästä sekä yksittäinen C2-yhdiste tietovarkauksia varten. Samaan aikaan hyökkääjät näyttävät päivittävän jatkuvasti C2- ja dropper-sivustojaan, tutkijat sanovat.
"Koodi osoittaa, että tiedostoja lähetettäessä menetelmä, jolla lähetetyn tiedoston tiedot lisätään manuaalisesti otsikkoon, on muutettu yksinkertaista APIa käyttäväksi menetelmäksi. Myös user-agentin arvo lähetettäessä muuttui”, tutkijat kertoivat blogikirjoituksessaan. Uusi versio näyttää myös toimivan oikein kaikissa Chromen versioissa, kun taas vanhat versiot toimivat vain Chrome 81-95 -versioissa.
Lue myös: