Angripere skjuler CryptBot malware som cracks for nye spill og pro-level programvare. Cybersikkerhetsforskere ved Ahn Lab har oppdaget en ny CryptBot-distribusjonskampanje, en infostealer som er i stand til å trekke ut lagrede nettleserpassord, informasjonskapsler, nettleserhistorikk, kryptolommebokdata, kredittkortinformasjon og filer fra kompromitterte endepunkter.
Kampanjen består av å lage en rekke nettsteder som promoterer cracks for dataspill og programvare på profesjonelt nivå. Disse nettstedene og destinasjonssidene er optimalisert for søkemotorer og rangerer ganske høyt på søkemotorresultatsidene for alle relevante søk.
Ikke bare det, angriperne bruker både sine egne domener og nettsteder som er vert på AWS, og i noen tilfeller omdirigerer besøkende flere ganger før de når leveringssiden. Dette betyr at selve landingssiden kan være på et legitimt, men hacket nettsted.
Selve skadevaren har også gjennomgått en rekke store endringer. Forskere sier programmet har blitt lettere og mistet flere funksjoner for å skjule bedre og spre seg lettere. Samtidig ble beskyttelsesfunksjonen fjernet Personvern Sandkasse, samt muligheten til å ta skjermbilder. Skadevaren kan ikke lenger samle inn data i TXT-filer på skrivebordet, og den har ikke lenger en andre C2-tilkobling og eksfiltreringsmappe. I den nyeste versjonen av skadevaren er det kun en anti-VM-sjekk på antall prosessorkjerner, samt en enkelt C2-forbindelse for informasjonstyveri. Samtidig ser det ut til at angripere stadig oppdaterer C2- og dropper-nettstedene sine, sier forskere.
"Koden viser at når du sender filer, har metoden for å manuelt legge til dataene til den sendte filen til overskriften blitt endret til en metode som bruker en enkel API. Verdien av user-agent når den ble sendt ble også endret," rapporterte forskerne i et blogginnlegg. Den nye versjonen ser også ut til å fungere riktig på alle versjoner av Chrome, mens de gamle versjonene bare fungerte på Chrome 81 - 95.
Les også: