ผู้โจมตีปลอมตัวมัลแวร์ CryptBot เป็นแคร็กสำหรับเกมใหม่และซอฟต์แวร์ระดับมืออาชีพ นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Ahn Lab ได้ค้นพบแคมเปญการแจกจ่าย CryptBot ใหม่ ซึ่งเป็นผู้ขโมยข้อมูลที่สามารถดึงรหัสผ่านเบราว์เซอร์ที่บันทึกไว้ คุกกี้ ประวัติเบราว์เซอร์ ข้อมูลกระเป๋าเงินเข้ารหัสลับ ข้อมูลบัตรเครดิต และไฟล์จากปลายทางที่ถูกบุกรุก
แคมเปญประกอบด้วยการสร้างเว็บไซต์จำนวนมากที่ส่งเสริมการแคร็กสำหรับเกมคอมพิวเตอร์และซอฟต์แวร์ระดับมืออาชีพ ไซต์และหน้า Landing Page เหล่านี้ได้รับการปรับให้เหมาะสมสำหรับเครื่องมือค้นหาและอันดับค่อนข้างสูงในหน้าผลลัพธ์ของเครื่องมือค้นหาสำหรับข้อความค้นหาที่เกี่ยวข้องทั้งหมด
ไม่เพียงเท่านั้น ผู้โจมตียังใช้ทั้งโดเมนและไซต์ของตนเองที่โฮสต์บน AWS และในบางกรณีเปลี่ยนเส้นทางผู้เยี่ยมชมหลายครั้งก่อนที่จะถึงหน้าการจัดส่ง ซึ่งหมายความว่าหน้า Landing Page อาจอยู่ในไซต์ที่ถูกต้องแต่ถูกแฮ็ก
มัลแวร์เองก็ได้รับการเปลี่ยนแปลงที่สำคัญหลายประการเช่นกัน นักวิจัยกล่าวว่าโปรแกรมนั้นเบาลงและสูญเสียคุณสมบัติหลายอย่างไปเพื่อให้ซ่อนได้ดีขึ้นและแพร่กระจายได้ง่ายขึ้น ในเวลาเดียวกัน ฟังก์ชันการป้องกันก็ถูกลบออก แซนด์บ็อกซ์ความเป็นส่วนตัวตลอดจนความสามารถในการจับภาพหน้าจอ มัลแวร์ไม่สามารถรวบรวมข้อมูลในไฟล์ TXT บนเดสก์ท็อปได้อีกต่อไป และไม่มีการเชื่อมต่อ C2 และโฟลเดอร์การกรองอีกต่อไป ในมัลแวร์เวอร์ชันล่าสุด มีเพียงการตรวจสอบต่อต้าน VM เกี่ยวกับจำนวนคอร์ของโปรเซสเซอร์ เช่นเดียวกับ C2 สารประกอบเดียวสำหรับการขโมยข้อมูล ในเวลาเดียวกัน ผู้โจมตีดูเหมือนจะอัปเดตไซต์ C2 และ dropper อย่างต่อเนื่อง นักวิจัยกล่าว
"รหัสแสดงให้เห็นว่าเมื่อส่งไฟล์ วิธีการเพิ่มข้อมูลของไฟล์ที่ส่งไปยังส่วนหัวด้วยตนเองได้เปลี่ยนเป็นวิธีการที่ใช้ API อย่างง่าย ค่าของ user-agent เมื่อส่งก็เปลี่ยนไปเช่นกัน” นักวิจัยรายงานในบล็อกโพสต์ ดูเหมือนว่าเวอร์ชันใหม่จะทำงานได้อย่างถูกต้องบน Chrome ทุกรุ่น ในขณะที่เวอร์ชันเก่าใช้งานได้กับ Chrome 81 - 95 เท่านั้น
อ่าน: