Напаѓачите го маскираат малициозниот софтвер CryptBot како пукнатини за нови игри и професионален софтвер. Истражувачите за сајбер безбедност во Ahn Lab открија нова кампања за дистрибуција на CryptBot, информативен крадец способен да извлекува зачувани лозинки на прелистувачот, колачиња, историја на прелистувач, податоци за криптопаричник, информации за кредитни картички и датотеки од компромитирани крајни точки.
Кампањата се состои од создавање на голем број веб-страници кои промовираат пукнатини за компјутерски игри и софтвер на професионално ниво. Овие страници и целни страници се соодветно оптимизирани за пребарувачите и се рангирани доста високо на страниците со резултати од пребарувачот за сите релевантни прашања.
Не само тоа, напаѓачите користат и свои сопствени домени и страници хостирани на AWS, а во некои случаи ги пренасочуваат посетителите повеќе пати пред да стигнат до страницата за испорака. Ова значи дека самата целна страница може да се наоѓа на легитимна, но хакирана локација.
Самиот малициозен софтвер, исто така, претрпе голем број големи промени. Истражувачите велат дека програмата станала полесна и изгубила неколку функции за подобро да се сокрие и полесно да се шири. Во исто време, функцијата за заштита беше отстранета Приватност песок, како и можноста за правење слики од екранот. Злонамерниот софтвер повеќе не може да собира податоци во TXT-датотеките на работната површина и веќе нема втора C2 конекција и папка за ексфилтрација. Во најновата верзија на малициозен софтвер, има само проверка против VM на бројот на јадра на процесорот, како и едно соединение C2 за кражба на информации. Во исто време, се чини дека напаѓачите постојано ги ажурираат своите C2 и dropper-сајтови, велат истражувачите.
„Кодот покажува дека при испраќање датотеки, начинот на рачно додавање на податоците од испратената датотека во заглавието е променет во метод кој користи едноставен API. Вредноста на корисничкиот агент при испраќањето исто така беше променета“, објавија истражувачите во блог пост. Се чини дека новата верзија работи правилно на сите верзии на Chrome, додека старите верзии работеа само на Chrome 81 - 95.
Прочитајте исто така: