Les attaquants déguisent les logiciels malveillants CryptBot en cracks pour les nouveaux jeux et les logiciels de niveau professionnel. Les chercheurs en cybersécurité d'Ahn Lab ont découvert une nouvelle campagne de distribution CryptBot, un voleur d'informations capable d'extraire les mots de passe de navigateur enregistrés, les cookies, l'historique du navigateur, les données de portefeuille crypto, les informations de carte de crédit et les fichiers à partir de terminaux compromis.
La campagne consiste à créer un certain nombre de sites Web faisant la promotion de cracks pour des jeux informatiques et des logiciels de niveau professionnel. Ces sites et pages de destination sont correctement optimisés pour les moteurs de recherche et se classent assez haut sur les pages de résultats des moteurs de recherche pour toutes les requêtes pertinentes.
De plus, les attaquants utilisent à la fois leurs propres domaines et sites hébergés sur AWS et, dans certains cas, redirigent les visiteurs plusieurs fois avant qu'ils n'atteignent la page de livraison. Cela signifie que la page de destination elle-même peut se trouver sur un site légitime mais piraté.
Le malware lui-même a également subi un certain nombre de changements majeurs. Les chercheurs disent que le programme est devenu plus léger et a perdu plusieurs fonctionnalités pour mieux se cacher et se propager plus facilement. Dans le même temps, la fonction de protection a été supprimée Sandbox de confidentialité, ainsi que la possibilité de prendre des captures d'écran. Le logiciel malveillant ne peut plus collecter de données dans les fichiers TXT sur le bureau et il n'a plus de deuxième dossier de connexion et d'exfiltration C2. Dans la dernière version du malware, il n'y a qu'un contrôle anti-VM sur le nombre de cœurs de processeur, ainsi qu'un seul composé C2 pour le vol d'informations. Dans le même temps, les attaquants semblent constamment mettre à jour leurs sites C2 et dropper, selon les chercheurs.
"Le code montre que lors de l'envoi de fichiers, la méthode d'ajout manuel des données du fichier envoyé à l'en-tête a été remplacée par une méthode utilisant une simple API. La valeur de l'agent utilisateur lors de son envoi a également été modifiée », ont rapporté les chercheurs dans un article de blog. La nouvelle version semble également fonctionner correctement sur toutes les versions de Chrome, alors que les anciennes versions ne fonctionnaient que sur Chrome 81 - 95.
Lisez aussi: