공격자는 CryptBot 멀웨어를 새로운 게임 및 전문가 수준 소프트웨어의 크랙으로 위장합니다. Ahn Lab의 사이버 보안 연구원들은 손상된 엔드포인트에서 저장된 브라우저 비밀번호, 쿠키, 브라우저 기록, 암호화 지갑 데이터, 신용 카드 정보 및 파일을 추출할 수 있는 정보 스틸러인 새로운 CryptBot 배포 캠페인을 발견했습니다.
이 캠페인은 전문가 수준의 컴퓨터 게임 및 소프트웨어에 대한 크랙을 홍보하는 여러 웹사이트를 만드는 것으로 구성됩니다. 이러한 사이트와 방문 페이지는 검색 엔진에 적절하게 최적화되어 있으며 모든 관련 검색어에 대해 검색 엔진 결과 페이지에서 상당히 높은 순위를 차지합니다.
뿐만 아니라 공격자는 자체 도메인과 AWS에서 호스팅되는 사이트를 모두 사용하며 경우에 따라 방문자가 전달 페이지에 도달하기 전에 여러 번 방문자를 리디렉션합니다. 이는 방문 페이지 자체가 합법적이지만 해킹된 사이트에 있을 수 있음을 의미합니다.
맬웨어 자체도 여러 가지 주요 변경 사항을 거쳤습니다. 연구원들은 프로그램이 더 가벼워지고 더 잘 숨기고 더 쉽게 퍼질 수 있도록 여러 기능을 잃었다고 말합니다. 동시에 보호 기능이 제거되었습니다. 프라이버시 샌드 박스, 뿐만 아니라 스크린샷을 찍는 기능. 멀웨어는 더 이상 데스크탑의 TXT 파일에서 데이터를 수집할 수 없으며 더 이상 두 번째 C2 연결 및 유출 폴더가 없습니다. 최신 버전의 맬웨어에는 프로세서 코어 수에 대한 안티 VM 검사와 정보 도용을 위한 단일 C2 화합물만 있습니다. 동시에 공격자들은 C2 및 드로퍼 사이트를 지속적으로 업데이트하는 것으로 보입니다.
"코드는 파일을 보낼 때 헤더에 보낸 파일의 데이터를 수동으로 추가하는 방법이 간단한 API를 사용하는 방법으로 변경되었음을 보여줍니다. 보낼 때 user-agent의 값도 변경되었습니다.”라고 연구원은 블로그 게시물에서 보고했습니다. 새 버전은 모든 버전의 Chrome에서 올바르게 작동하는 것으로 보이지만 이전 버전은 Chrome 81 - 95에서만 작동합니다.
또한 읽기: