攻撃者は、CryptBot マルウェアを新しいゲームやプロレベルのソフトウェアのクラックとして偽装します。 Ahn Lab のサイバーセキュリティ研究者は、新しい CryptBot 配布キャンペーンを発見しました。これは、侵害されたエンドポイントから、保存されたブラウザー パスワード、Cookie、ブラウザー履歴、暗号ウォレット データ、クレジット カード情報、およびファイルを抽出できるインフォスティーラーです。
このキャンペーンは、プロ レベルのコンピューター ゲームやソフトウェアのクラックを宣伝する多数の Web サイトを作成することで構成されています。 これらのサイトとランディング ページは、検索エンジン向けに適切に最適化されており、関連するすべてのクエリの検索エンジンの結果ページで非常に上位にランクされています。
それだけでなく、攻撃者は独自のドメインと AWS でホストされているサイトの両方を使用しており、場合によっては訪問者が配信ページに到達する前に複数回リダイレクトされます。 これは、ランディング ページ自体が合法的であるがハッキングされたサイトにある可能性があることを意味します。
マルウェア自体にも多くの大きな変更が加えられています。 研究者によると、このプログラムは軽くなり、いくつかの機能が失われ、隠れやすく拡散しやすくなっているという。 同時に、保護機能が削除されました プライバシーサンドボックス、およびスクリーンショットを撮る機能。 マルウェアは、デスクトップ上の TXT ファイルでデータを収集できなくなり、2 つ目の C2 接続と抽出フォルダーがなくなりました。 マルウェアの最新バージョンでは、プロセッサ コアの数に関するアンチ VM チェックと、情報窃盗用の C2 化合物が つだけあります。 同時に、攻撃者は C サイトとドロッパー サイトを常に更新しているように見える、と研究者は述べています。
「ファイル送信時に、送信ファイルのデータを手動でヘッダーに追加する方法を、簡易APIを利用した方法に変更したコードです。 送信時のユーザー エージェントの値も変更されました」と研究者はブログ投稿で報告しています。 新しいバージョンは Chrome のすべてのバージョンで正しく動作するようですが、古いバージョンは Chrome 81 ~ 95 でしか動作しませんでした。
また読む: