Angripare döljer CryptBot malware som sprickor för nya spel och pro-level mjukvara. Cybersäkerhetsforskare vid Ahn Lab har upptäckt en ny CryptBot-distributionskampanj, en infostealer som kan extrahera sparade webbläsarlösenord, cookies, webbläsarhistorik, kryptoplånboksdata, kreditkortsinformation och filer från komprometterade slutpunkter.
Kampanjen består av att skapa ett antal webbplatser som främjar sprickor för datorspel och programvara på professionell nivå. Dessa webbplatser och målsidor är korrekt optimerade för sökmotorer och rankas ganska högt på sökmotorernas resultatsidor för alla relevanta frågor.
Inte nog med det, angriparna använder både sina egna domäner och webbplatser som är värd för AWS, och i vissa fall omdirigerar besökare flera gånger innan de når leveranssidan. Det betyder att själva målsidan kan finnas på en legitim men hackad webbplats.
Skadlig programvara i sig har också genomgått ett antal stora förändringar. Forskare säger att programmet har blivit lättare och förlorat flera funktioner för att dölja bättre och spridas lättare. Samtidigt togs skyddsfunktionen bort Sekretess sandlåda, samt möjligheten att ta skärmdumpar. Skadlig programvara kan inte längre samla in data i TXT-filer på skrivbordet, och den har inte längre en andra C2-anslutning och exfiltreringsmapp. I den senaste versionen av skadlig programvara finns det bara en anti-VM-kontroll av antalet processorkärnor, samt en enda C2-förening för informationsstöld. Samtidigt verkar angripare ständigt uppdatera sina C2- och dropparsajter, säger forskare.
"Koden visar att när man skickar filer har metoden att manuellt lägga till data från den skickade filen till rubriken ändrats till en metod som använder ett enkelt API. Värdet på user-agent när det skickades ändrades också”, rapporterade forskarna i ett blogginlägg. Den nya versionen verkar också fungera korrekt på alla versioner av Chrome, medan de gamla versionerna bara fungerade på Chrome 81 - 95.
Läs också: