Aanvallers vermommen CryptBot-malware als cracks voor nieuwe games en professionele software. Cybersecurity-onderzoekers van Ahn Lab hebben een nieuwe CryptBot-distributiecampagne ontdekt, een infostealer die opgeslagen browserwachtwoorden, cookies, browsergeschiedenis, crypto-portemonneegegevens, creditcardgegevens en bestanden van gecompromitteerde eindpunten kan extraheren.
De campagne bestaat uit het creëren van een aantal websites die cracks voor professionele computerspellen en software promoten. Deze sites en bestemmingspagina's zijn goed geoptimaliseerd voor zoekmachines en staan vrij hoog op de pagina's met zoekresultaten van zoekmachines voor alle relevante zoekopdrachten.
Niet alleen dat, de aanvallers gebruiken zowel hun eigen domeinen als sites die worden gehost op AWS, en in sommige gevallen leiden ze bezoekers meerdere keren om voordat ze de bezorgpagina bereiken. Dit betekent dat de bestemmingspagina zelf op een legitieme maar gehackte site kan staan.
De malware zelf heeft ook een aantal grote veranderingen ondergaan. Onderzoekers zeggen dat het programma lichter is geworden en verschillende functies heeft verloren om zich beter te verbergen en gemakkelijker te verspreiden. Tegelijkertijd werd de beveiligingsfunctie verwijderd Privacy-sandbox, evenals de mogelijkheid om schermafbeeldingen te maken. De malware kan geen gegevens meer verzamelen in TXT-bestanden op de desktop en heeft geen tweede C2-verbinding en exfiltratiemap meer. In de nieuwste versie van de malware is er alleen een anti-VM-controle op het aantal processorcores, evenals een enkele C2-verbinding voor informatiediefstal. Tegelijkertijd lijken aanvallers hun C2- en dropper-sites voortdurend bij te werken, zeggen onderzoekers.
"De code laat zien dat bij het verzenden van bestanden de methode voor het handmatig toevoegen van de gegevens van het verzonden bestand aan de header is gewijzigd in een methode die gebruikmaakt van een eenvoudige API. De waarde van user-agent bij verzending is ook veranderd”, melden de onderzoekers in een blogpost. De nieuwe versie lijkt ook correct te werken op alle versies van Chrome, terwijl de oude versies alleen werkten op Chrome 81 - 95.
Lees ook: