Napadalci zlonamerno programsko opremo CryptBot prikrijejo kot razpoke za nove igre in programsko opremo profesionalne ravni. Raziskovalci kibernetske varnosti v laboratoriju Ahn Lab so odkrili novo distribucijsko kampanjo CryptBot, infostealerja, ki je sposoben ekstrahirati shranjena gesla brskalnika, piškotke, zgodovino brskalnika, podatke kripto denarnice, podatke o kreditni kartici in datoteke iz ogroženih končnih točk.
Kampanja je sestavljena iz ustvarjanja številnih spletnih mest, ki promovirajo razpoke za profesionalne računalniške igre in programsko opremo. Ta spletna mesta in ciljne strani so ustrezno optimizirane za iskalnike in se na straneh z rezultati iskalnika uvrščajo precej visoko za vse ustrezne poizvedbe.
Ne le to, napadalci uporabljajo svoje domene in spletna mesta, ki gostujejo na AWS, in v nekaterih primerih večkrat preusmerijo obiskovalce, preden dosežejo stran za dostavo. To pomeni, da je ciljna stran lahko na zakonitem, vendar vdrtem spletnem mestu.
Tudi sama zlonamerna programska oprema je bila deležna številnih večjih sprememb. Raziskovalci pravijo, da je program postal lažji in izgubil več funkcij, da se bolje skriva in lažje širi. Hkrati je bila odstranjena zaščitna funkcija Zasebnost Sandbox, pa tudi možnost snemanja posnetkov zaslona. Zlonamerna programska oprema ne more več zbirati podatkov v datotekah TXT na namizju in nima več druge povezave C2 in mape za izločanje. V najnovejši različici zlonamerne programske opreme je na voljo le anti-VM preverjanje števila procesorskih jeder in ena sama spojina C2 za krajo informacij. Hkrati se zdi, da napadalci nenehno posodabljajo svoja spletna mesta C2 in dropper, pravijo raziskovalci.
»Koda kaže, da je pri pošiljanju datotek metoda ročnega dodajanja podatkov poslane datoteke v glavo spremenjena v metodo, ki uporablja preprost API. Spremenjena je bila tudi vrednost uporabniškega agenta ob pošiljanju,« so raziskovalci poročali v objavi na blogu. Zdi se, da nova različica deluje pravilno v vseh različicah Chroma, medtem ko so stare različice delovale samo v Chromu 81–95.
Preberite tudi: