Útočníci maskujú malvér CryptBot ako cracky pre nové hry a profesionálny softvér. Výskumníci v oblasti kybernetickej bezpečnosti v Ahn Lab objavili novú distribučnú kampaň CryptBot, informačnú krádež, ktorá dokáže extrahovať uložené heslá prehliadača, súbory cookie, históriu prehliadača, údaje o krypto peňaženkách, informácie o kreditných kartách a súbory z napadnutých koncových bodov.
Kampaň pozostáva z vytvorenia množstva webových stránok propagujúcich cracky pre počítačové hry a softvér na profesionálnej úrovni. Tieto stránky a vstupné stránky sú správne optimalizované pre vyhľadávače a na stránkach s výsledkami vyhľadávacích nástrojov sa umiestňujú pomerne vysoko pre všetky relevantné dopyty.
Nielen to, že útočníci používajú svoje vlastné domény aj stránky hostené na AWS a v niektorých prípadoch návštevníkov niekoľkokrát presmerujú, kým sa dostanú na stránku doručenia. To znamená, že samotná vstupná stránka môže byť na legitímnej, no napadnutej stránke.
Samotný malvér tiež prešiel niekoľkými zásadnými zmenami. Výskumníci tvrdia, že program sa stal ľahším a stratil niekoľko funkcií, aby sa mohol lepšie skrývať a šíriť. Zároveň bola odstránená ochranná funkcia Ochrana osobných údajov, ako aj možnosť vytvárať snímky obrazovky. Malvér už nemôže zhromažďovať údaje v súboroch TXT na pracovnej ploche a už nemá druhé pripojenie C2 a priečinok exfiltrácie. V najnovšej verzii malvéru existuje iba anti-VM kontrola počtu procesorových jadier, ako aj jedna zlúčenina C2 pre krádež informácií. Zároveň sa zdá, že útočníci neustále aktualizujú svoje stránky C2 a dropper, hovoria výskumníci.
„Kód ukazuje, že pri odosielaní súborov sa zmenil spôsob manuálneho pridávania údajov odosielaného súboru do hlavičky na spôsob využívajúci jednoduché API. Zmenila sa aj hodnota user-agent pri odoslaní,“ uviedli vedci v blogovom príspevku. Zdá sa, že nová verzia funguje správne vo všetkých verziách prehliadača Chrome, zatiaľ čo staré verzie fungovali iba v prehliadači Chrome 81 – 95.
Prečítajte si tiež: