Užpuolikai užmaskuoja CryptBot kenkėjiškas programas kaip naujų žaidimų ir profesionalaus lygio programinės įrangos įtrūkimus. „Ahn Lab“ kibernetinio saugumo tyrėjai atrado naują „CryptBot“ platinimo kampaniją – informacijos stealerį, galintį išgauti išsaugotus naršyklės slaptažodžius, slapukus, naršyklės istoriją, kriptovaliutų piniginės duomenis, kredito kortelės informaciją ir failus iš pažeistų galinių taškų.
Kampanijos tikslas – sukurti daugybę svetainių, reklamuojančių profesionalaus lygio kompiuterinių žaidimų ir programinės įrangos įtrūkimus. Šios svetainės ir nukreipimo puslapiai yra tinkamai optimizuoti paieškos sistemoms ir užima gana aukštą vietą paieškos sistemų rezultatų puslapiuose pagal visas susijusias užklausas.
Negana to, užpuolikai naudoja ir savo domenus, ir AWS priglobtas svetaines, o kai kuriais atvejais kelis kartus peradresuoja lankytojus, kol jie pasiekia pristatymo puslapį. Tai reiškia, kad pats nukreipimo puslapis gali būti teisėtoje, bet nulaužtoje svetainėje.
Pati kenkėjiška programa taip pat patyrė nemažai didelių pakeitimų. Tyrėjai teigia, kad programa tapo lengvesnė ir prarado keletą funkcijų, kad galėtų geriau pasislėpti ir lengviau plisti. Tuo pačiu metu buvo pašalinta apsaugos funkcija Privatumo smėlio dėžė, taip pat galimybė daryti ekrano kopijas. Kenkėjiška programa nebegali rinkti duomenų TXT failuose darbalaukyje ir nebėra antrojo C2 ryšio bei eksfiltravimo aplanko. Naujausioje kenkėjiškos programinės įrangos versijoje yra tik anti-VM procesoriaus branduolių skaičiaus patikra, taip pat vienas C2 junginys informacijos vagystei. Tuo pačiu metu užpuolikai, atrodo, nuolat atnaujina savo C2 ir dropper svetaines, teigia mokslininkai.
„Kodas rodo, kad siunčiant failus rankinio atsiųsto failo duomenų įtraukimo į antraštę būdas buvo pakeistas į metodą, kuris naudoja paprastą API. Taip pat buvo pakeista vartotojo agento vertė siunčiant“, – tinklaraščio įraše pranešė mokslininkai. Naujoji versija taip pat tinkamai veikia visose „Chrome“ versijose, o senosios versijos veikė tik „Chrome 81–95“.
Taip pat skaitykite: