Uzbrucēji maskē CryptBot ļaunprātīgu programmatūru kā plaisas jaunām spēlēm un profesionāla līmeņa programmatūrai. Ahn Lab kiberdrošības pētnieki ir atklājuši jaunu CryptBot izplatīšanas kampaņu, informācijas zagļu, kas spēj iegūt saglabātās pārlūkprogrammas paroles, sīkfailus, pārlūkprogrammas vēsturi, kriptovalūtas maka datus, kredītkaršu informāciju un failus no apdraudētiem galapunktiem.
Kampaņas mērķis ir izveidot vairākas tīmekļa vietnes, kurās tiek reklamētas profesionāla līmeņa datorspēļu un programmatūras kreka. Šīs vietnes un galvenās lapas ir pareizi optimizētas meklētājprogrammām un ieņem diezgan augstu vietu meklētājprogrammu rezultātu lapās visiem attiecīgajiem vaicājumiem.
Ne tikai tas, ka uzbrucēji izmanto gan savus domēnus, gan vietnes, kas tiek mitinātas AWS, un dažos gadījumos novirza apmeklētājus vairākas reizes, pirms tie sasniedz piegādes lapu. Tas nozīmē, ka pati galvenā lapa var atrasties likumīgā, bet uzlauztā vietnē.
Arī pati ļaunprogrammatūra ir piedzīvojusi vairākas būtiskas izmaiņas. Pētnieki saka, ka programma ir kļuvusi vieglāka un zaudējusi vairākas funkcijas, lai labāk paslēptos un vieglāk izplatītos. Tajā pašā laikā aizsardzības funkcija tika noņemta Privātuma smilškaste, kā arī iespēja uzņemt ekrānuzņēmumus. Ļaunprātīga programmatūra vairs nevar apkopot datus TXT failos darbvirsmā, un tai vairs nav otras C2 savienojuma un eksfiltrācijas mapes. Jaunākajā ļaunprogrammatūras versijā ir tikai anti-VM pārbaude procesora kodolu skaitam, kā arī viens C2 savienojums informācijas zādzībām. Tajā pašā laikā uzbrucēji, šķiet, pastāvīgi atjaunina savas C2 un dropper vietnes, norāda pētnieki.
"Kods parāda, ka, nosūtot failus, metode, kā manuāli pievienot nosūtītā faila datus galvenē, ir mainīta uz metodi, kas izmanto vienkāršu API. Tika mainīta arī lietotāja aģenta vērtība nosūtīšanas laikā," emuāra ierakstā ziņo pētnieki. Šķiet, ka jaunā versija arī darbojas pareizi visās Chrome versijās, savukārt vecās versijas darbojās tikai pārlūkā Chrome 81–95.
Lasi arī: