Gli aggressori mascherano il malware CryptBot come crack per nuovi giochi e software di livello professionale. I ricercatori di cybersecurity di Ahn Lab hanno scoperto una nuova campagna di distribuzione CryptBot, un infostealer in grado di estrarre password del browser salvate, cookie, cronologia del browser, dati del portafoglio crittografico, informazioni sulla carta di credito e file da endpoint compromessi.
La campagna consiste nella creazione di una serie di siti Web che promuovono crack per giochi e software per computer di livello professionale. Questi siti e pagine di destinazione sono opportunamente ottimizzati per i motori di ricerca e si posizionano abbastanza in alto nelle pagine dei risultati dei motori di ricerca per tutte le query pertinenti.
Non solo, gli aggressori utilizzano sia i propri domini che i siti ospitati su AWS e, in alcuni casi, reindirizzano i visitatori più volte prima che raggiungano la pagina di consegna. Ciò significa che la pagina di destinazione stessa potrebbe trovarsi su un sito legittimo ma compromesso.
Anche il malware stesso ha subito una serie di importanti modifiche. I ricercatori affermano che il programma è diventato più leggero e ha perso diverse funzionalità per nascondersi meglio e diffondersi più facilmente. Allo stesso tempo, la funzione di protezione è stata rimossa Sandbox per la privacy, oltre alla possibilità di acquisire schermate. Il malware non può più raccogliere dati nei file TXT sul desktop e non ha più una seconda connessione C2 e una cartella di esfiltrazione. Nell'ultima versione del malware, c'è solo un controllo anti-VM sul numero di core del processore, oltre a un singolo composto C2 per il furto di informazioni. Allo stesso tempo, gli aggressori sembrano aggiornare costantemente i loro siti C2 e contagocce, affermano i ricercatori.
"Il codice mostra che durante l'invio di file, il metodo di aggiunta manuale dei dati del file inviato all'intestazione è stato modificato in un metodo che utilizza una semplice API. Anche il valore dello user-agent quando viene inviato è stato modificato", hanno riferito i ricercatori in un post sul blog. La nuova versione sembra funzionare correttamente anche su tutte le versioni di Chrome, mentre le vecchie versioni funzionavano solo su Chrome 81 - 95.
Leggi anche: