Napadači maskiraju zlonamjerni softver CryptBot kao krekove za nove igre i softver profesionalne razine. Istraživači kibernetičke sigurnosti u Ahn Labu otkrili su novu distribucijsku kampanju CryptBot, infostealer sposoban izvući spremljene lozinke preglednika, kolačiće, povijest preglednika, podatke kripto novčanika, podatke o kreditnoj kartici i datoteke s kompromitiranih krajnjih točaka.
Kampanja se sastoji od stvaranja niza web stranica koje promoviraju crackove za profesionalne računalne igre i softver. Ove web lokacije i odredišne stranice pravilno su optimizirane za tražilice i rangirane su prilično visoko na stranicama s rezultatima tražilice za sve relevantne upite.
I ne samo to, napadači koriste i vlastite domene i web stranice hostirane na AWS-u, au nekim slučajevima preusmjeravaju posjetitelje više puta prije nego što dođu do stranice za isporuku. To znači da sama odredišna stranica može biti na legitimnoj, ali hakiranoj web stranici.
Sam malware također je doživio niz velikih promjena. Istraživači kažu da je program postao lakši i da je izgubio nekoliko značajki kako bi se bolje sakrio i lakše širio. Istodobno je uklonjena zaštitna funkcija Pješčanik privatnosti, kao i mogućnost snimanja screenshotova. Zlonamjerni softver više ne može prikupljati podatke u TXT datotekama na radnoj površini i više nema drugu C2 vezu i mapu za eksfiltraciju. U posljednjoj verziji zlonamjernog softvera postoji samo anti-VM provjera broja procesorskih jezgri, kao i jedan C2 spoj za krađu informacija. U isto vrijeme, čini se da napadači stalno ažuriraju svoje C2 i dropper stranice, kažu istraživači.
„Kôd pokazuje da je prilikom slanja datoteka metoda ručnog dodavanja podataka poslane datoteke u zaglavlje promijenjena u metodu koja koristi jednostavan API. Vrijednost korisničkog agenta pri slanju također je promijenjena”, objavili su istraživači u objavi na blogu. Čini se da nova verzija radi ispravno na svim verzijama Chromea, dok su stare verzije radile samo na Chromeu 81 - 95.
Pročitajte također: