Халдагчид CryptBot хортой программыг шинэ тоглоом болон түвшний программ хангамжийн хагарал болгон хувиргадаг. Ahn Lab-ийн кибер аюулгүй байдлын судлаачид хадгалагдсан хөтчийн нууц үг, күүки, хөтчийн түүх, крипто түрийвчний өгөгдөл, зээлийн картын мэдээлэл, эвдэрсэн төгсгөлийн цэгүүдээс файлуудыг гаргаж авах чадвартай мэдээлэл хулгайлагч CryptBot түгээлтийн шинэ кампанит ажлыг нээсэн.
Энэхүү кампанит ажил нь мэргэжлийн түвшний компьютерийн тоглоом, програм хангамжийн хагарлыг сурталчлах хэд хэдэн вэбсайт үүсгэхээс бүрдэнэ. Эдгээр сайтууд болон буух хуудсууд нь хайлтын системд тохирсон оновчтой бөгөөд хайлтын системийн үр дүнгийн хуудсанд холбогдох бүх асуулгад нэлээд дээгүүр байр эзэлдэг.
Үүгээр зогсохгүй халдагчид өөрсдийн домэйн болон AWS дээр байрлуулсан сайтуудыг хоёуланг нь ашигладаг бөгөөд зарим тохиолдолд зочдыг хүргэх хуудсанд хүрэхээс өмнө олон удаа дахин чиглүүлдэг. Энэ нь буух хуудас өөрөө хууль ёсны боловч хакердсан сайт дээр байж болно гэсэн үг юм.
Хортой програм өөрөө бас хэд хэдэн томоохон өөрчлөлтийг хийсэн. Судлаачдын үзэж байгаагаар уг программ нь илүү хөнгөн болж, илүү сайн нуугдаж, илүү хялбар тархахын тулд хэд хэдэн функцээ алдсан байна. Үүний зэрэгцээ хамгаалалтын функцийг устгасан Нууцлалын Sandbox, түүнчлэн дэлгэцийн агшин авах чадвартай. Хортой програм нь ширээний компьютер дээрх TXT файлаас мэдээлэл цуглуулах боломжгүй бөгөөд хоёр дахь C2 холболт болон гадагшлуулах хавтасгүй болсон. Хортой програмын хамгийн сүүлийн хувилбарт зөвхөн процессорын цөмийн тоо, мэдээллийн хулгайд зориулсан ганц C2 нэгдэл дээр VM-ийн эсрэг шалгалт байдаг. Үүний зэрэгцээ халдагчид C2 болон дусаагуурын сайтуудыг байнга шинэчилж байх шиг байна гэж судлаачид хэлж байна.
"Файл илгээхдээ илгээсэн файлын өгөгдлийг толгой хэсэгт гараар нэмэх аргыг энгийн API ашигладаг арга болгон өөрчилсөн болохыг код харуулж байна. Илгээх үед хэрэглэгчийн агентын үнэ цэнэ мөн өөрчлөгдсөн" гэж судлаачид блогтоо бичжээ. Шинэ хувилбар нь Chrome-ын бүх хувилбар дээр зөв ажиллаж байгаа бол хуучин хувилбарууд нь зөвхөн Chrome 81 - 95 дээр ажиллаж байсан.
Мөн уншина уу: