התוקפים מסווים את תוכנות זדוניות של CryptBot כסדקים למשחקים חדשים ותוכנות ברמה מקצועית. חוקרי אבטחת סייבר במעבדת Ahn גילו קמפיין הפצה חדש של CryptBot, גנב מידע המסוגל לחלץ סיסמאות דפדפן שמורות, עוגיות, היסטוריית דפדפן, נתוני ארנק קריפטו, פרטי כרטיסי אשראי וקבצים מנקודות קצה שנפרצו.
הקמפיין מורכב מיצירת מספר אתרי אינטרנט המקדמים קראקים למשחקי מחשב ותוכנות ברמה מקצועית. אתרים ודפי נחיתה אלו מותאמים כראוי למנועי חיפוש ומדורגים גבוה למדי בדפי התוצאות של מנועי החיפוש עבור כל השאילתות הרלוונטיות.
לא רק זה, התוקפים משתמשים גם בדומיינים שלהם וגם באתרים שמתארחים ב-AWS, ובמקרים מסוימים מפנים מבקרים מספר פעמים לפני שהם מגיעים לדף המסירה. המשמעות היא שדף הנחיתה עצמו עשוי להיות באתר לגיטימי אך פרוץ.
גם התוכנה הזדונית עצמה עברה מספר שינויים גדולים. חוקרים אומרים שהתוכנית הפכה לקלה יותר ואיבדה כמה תכונות כדי להסתיר טוב יותר ולהפיץ ביתר קלות. במקביל, פונקציית ההגנה הוסרה ארגז חול של פרטיות, כמו גם היכולת לצלם צילומי מסך. התוכנה הזדונית כבר לא יכולה לאסוף נתונים בקובצי TXT על שולחן העבודה, ואין לה עוד חיבור C2 ותיקיית אקפילציה. בגרסה העדכנית ביותר של התוכנה הזדונית, יש רק בדיקה נגד VM של מספר ליבות המעבד, כמו גם תרכובת C2 בודדת לגניבת מידע. יחד עם זאת, נראה שהתוקפים מעדכנים ללא הרף את אתרי C2 ואתרי הטפטוף שלהם, אומרים חוקרים.
"הקוד מראה שבעת שליחת קבצים שונתה השיטה של הוספת הנתונים של הקובץ הנשלח באופן ידני לכותרת לשיטה שמשתמשת ב-API פשוט. הערך של user-agent בעת שליחתו השתנה גם הוא", דיווחו החוקרים בפוסט בבלוג. נראה כי הגרסה החדשה פועלת כהלכה בכל הגרסאות של Chrome, בעוד שהגרסאות הישנות עבדו רק על Chrome 81 - 95.
קרא גם: