Itinatago ng mga attacker ang CryptBot malware bilang mga bitak para sa mga bagong laro at pro-level na software. Natuklasan ng mga mananaliksik ng Cybersecurity sa Ahn Lab ang isang bagong kampanya sa pamamahagi ng CryptBot, isang infostealer na may kakayahang mag-extract ng mga naka-save na password ng browser, cookies, history ng browser, data ng crypto wallet, impormasyon ng credit card, at mga file mula sa mga nakompromisong endpoint.
Ang kampanya ay binubuo ng paglikha ng isang bilang ng mga website na nagpo-promote ng mga crack para sa propesyonal na antas ng mga laro sa computer at software. Ang mga site at landing page na ito ay wastong na-optimize para sa mga search engine at medyo mataas ang ranggo sa mga pahina ng resulta ng search engine para sa lahat ng nauugnay na query.
Hindi lang iyon, ginagamit ng mga umaatake ang kanilang sariling mga domain at site na naka-host sa AWS, at sa ilang mga kaso ay nagre-redirect ng mga bisita nang maraming beses bago nila maabot ang pahina ng paghahatid. Nangangahulugan ito na ang landing page mismo ay maaaring nasa isang lehitimong ngunit na-hack na site.
Ang malware mismo ay sumailalim din sa ilang malalaking pagbabago. Sinasabi ng mga mananaliksik na ang programa ay naging mas magaan at nawala ang ilang mga tampok upang maitago nang mas mahusay at mas madaling kumalat. Kasabay nito, tinanggal ang function ng proteksyon Sandbox ng Pagkapribado, pati na rin ang kakayahang kumuha ng mga screenshot. Hindi na makakakolekta ang malware ng data sa mga TXT file sa desktop, at wala na itong pangalawang koneksyon sa C2 at exfiltration folder. Sa pinakabagong bersyon ng malware, mayroon lamang isang anti-VM na pagsusuri sa bilang ng mga core ng processor, pati na rin ang isang solong C2 compound para sa pagnanakaw ng impormasyon. Kasabay nito, lumilitaw na patuloy na ina-update ng mga umaatake ang kanilang C2 at dropper site, sabi ng mga mananaliksik.
"Ipinapakita ng code na kapag nagpapadala ng mga file, ang paraan ng manu-manong pagdaragdag ng data ng ipinadalang file sa header ay binago sa isang paraan na gumagamit ng isang simpleng API. Ang halaga ng user-agent kapag ipinadala ay binago din, "iniulat ng mga mananaliksik sa isang post sa blog. Mukhang gumagana nang tama ang bagong bersyon sa lahat ng bersyon ng Chrome, samantalang gumagana lang ang mga lumang bersyon sa Chrome 81 - 95.
Basahin din: