A támadók a CryptBot rosszindulatú programját új játékok és profi szintű szoftverek repedéseinek álcázzák. Az Ahn Lab kiberbiztonsági kutatói egy új CryptBot terjesztési kampányt fedeztek fel, egy infolopót, amely képes kinyerni a mentett böngészőjelszavakat, cookie-kat, a böngésző előzményeit, kriptopénztárca-adatokat, hitelkártya-információkat és fájlokat a feltört végpontokról.
A kampány számos olyan webhely létrehozásából áll, amelyek professzionális szintű számítógépes játékok és szoftverek repedéseit népszerűsítik. Ezek a webhelyek és céloldalak megfelelően vannak optimalizálva a keresőmotorok számára, és meglehetősen előkelő helyen szerepelnek a keresőmotorok eredményoldalain minden releváns lekérdezés esetén.
A támadók nem csak a saját domainjüket és az AWS-en tárolt webhelyeiket használják, és bizonyos esetekben többször is átirányítják a látogatókat, mielőtt azok elérnék a kézbesítési oldalt. Ez azt jelenti, hogy maga a céloldal lehet egy legitim, de feltört webhelyen.
Maga a kártevő is számos jelentős változáson ment keresztül. A kutatók szerint a program könnyebbé vált, és több funkciót is elveszített, hogy jobban elrejtőzzön és könnyebben terjedjen. Ezzel egyidejűleg a védelmi funkció is megszűnt Adatvédelmi homokozó, valamint képernyőképek készítésének lehetősége. A kártevő már nem tud adatokat gyűjteni az asztalon lévő TXT-fájlokban, és nem rendelkezik második C2-kapcsolattal és kiszűrési mappával. A kártevő legújabb verziójában csak a processzormagok számának virtuálisgép-ellenőrzése van, valamint egyetlen C2-es vegyület információlopásra. Ugyanakkor úgy tűnik, hogy a támadók folyamatosan frissítik C2 és dropper webhelyeiket, állítják a kutatók.
"A kód azt mutatja, hogy fájlok küldésekor az elküldött fájl adatainak fejléchez való manuális hozzáadásának módja egy egyszerű API-t használó módszerre módosult. A user-agent értéke is megváltozott a küldéskor” – számoltak be a kutatók egy blogbejegyzésben. Úgy tűnik, hogy az új verzió is megfelelően működik a Chrome összes verzióján, míg a régi verziók csak a Chrome 81-95-ön működtek.
Olvassa el még: