Os invasores disfarçam o malware CryptBot como cracks para novos jogos e software de nível profissional. Pesquisadores de segurança cibernética do Ahn Lab descobriram uma nova campanha de distribuição CryptBot, um infostealer capaz de extrair senhas salvas de navegadores, cookies, histórico do navegador, dados de carteira de criptomoedas, informações de cartão de crédito e arquivos de terminais comprometidos.
A campanha consiste na criação de vários sites que promovem cracks para jogos de computador e software de nível profissional. Esses sites e páginas de destino são otimizados adequadamente para os mecanismos de pesquisa e têm uma classificação bastante alta nas páginas de resultados dos mecanismos de pesquisa para todas as consultas relevantes.
Além disso, os invasores usam seus próprios domínios e sites hospedados na AWS e, em alguns casos, redirecionam os visitantes várias vezes antes de chegarem à página de entrega. Isso significa que a própria página de destino pode estar em um site legítimo, mas invadido.
O malware em si também passou por uma série de mudanças importantes. Pesquisadores dizem que o programa ficou mais leve e perdeu vários recursos para se esconder melhor e se espalhar com mais facilidade. Ao mesmo tempo, a função de proteção foi removida Sandbox de privacidade, bem como a capacidade de fazer capturas de tela. O malware não pode mais coletar dados em arquivos TXT na área de trabalho e não possui mais uma segunda conexão C2 e uma pasta de exfiltração. Na versão mais recente do malware, há apenas uma verificação anti-VM no número de núcleos do processador, além de um único composto C2 para roubo de informações. Ao mesmo tempo, os invasores parecem estar constantemente atualizando seus sites C2 e dropper, dizem os pesquisadores.
"O código mostra que ao enviar arquivos, o método de adicionar manualmente os dados do arquivo enviado ao cabeçalho foi alterado para um método que utiliza uma API simples. O valor do user agent quando enviado também foi alterado”, relataram os pesquisadores em um post no blog. A nova versão também parece funcionar corretamente em todas as versões do Chrome, enquanto as versões antigas funcionavam apenas no Chrome 81 - 95.
Leia também: