Atacatorii deghizează malware-ul CryptBot ca crack-uri pentru jocuri noi și software de nivel profesional. Cercetătorii de securitate cibernetică de la Ahn Lab au descoperit o nouă campanie de distribuție CryptBot, un furt de informații capabil să extragă parole salvate de browser, cookie-uri, istoricul browserului, date criptomonedei, informații despre cardul de credit și fișiere de la punctele finale compromise.
Campania constă în crearea unui număr de site-uri web care promovează crack-uri pentru jocuri și software la nivel profesional. Aceste site-uri și pagini de destinație sunt optimizate corespunzător pentru motoarele de căutare și se clasează destul de sus pe paginile cu rezultate ale motoarelor de căutare pentru toate interogările relevante.
Nu numai că, atacatorii își folosesc atât propriile domenii, cât și site-uri găzduite pe AWS și, în unele cazuri, redirecționează vizitatorii de mai multe ori înainte de a ajunge la pagina de livrare. Aceasta înseamnă că pagina de destinație în sine poate fi pe un site legitim, dar piratat.
Malware-ul în sine a suferit o serie de modificări majore. Cercetătorii spun că programul a devenit mai ușor și a pierdut mai multe funcții pentru a se ascunde mai bine și a se răspândi mai ușor. În același timp, funcția de protecție a fost eliminată Sandbox de confidențialitate, precum și capacitatea de a face capturi de ecran. Malware-ul nu mai poate colecta date în fișierele TXT de pe desktop și nu mai are o a doua conexiune C2 și dosar de exfiltrare. În cea mai recentă versiune a malware-ului, există doar o verificare anti-VM a numărului de nuclee de procesor, precum și un singur compus C2 pentru furtul de informații. În același timp, atacatorii par să-și actualizeze constant site-urile C2 și dropper, spun cercetătorii.
„Codul arată că la trimiterea fișierelor, metoda de adăugare manuală a datelor fișierului trimis la antet a fost schimbată într-o metodă care folosește un API simplu. Valoarea user-agent atunci când este trimis a fost, de asemenea, schimbată”, au raportat cercetătorii într-o postare pe blog. Noua versiune pare să funcționeze corect și pe toate versiunile de Chrome, în timp ce versiunile vechi au funcționat doar pe Chrome 81 - 95.
Citeste si: