Saldırganlar, CryptBot kötü amaçlı yazılımını yeni oyunlar ve profesyonel düzey yazılımlar için crack olarak gizler. Ahn Lab'deki siber güvenlik araştırmacıları, kaydedilmiş tarayıcı şifrelerini, çerezleri, tarayıcı geçmişini, kripto cüzdan verilerini, kredi kartı bilgilerini ve güvenliği ihlal edilmiş uç noktalardan dosyaları çıkarabilen bir bilgi hırsızı olan yeni bir CryptBot dağıtım kampanyası keşfettiler.
Kampanya, profesyonel düzeyde bilgisayar oyunları ve yazılımları için crack'leri tanıtan bir dizi web sitesi oluşturmaktan oluşuyor. Bu siteler ve açılış sayfaları, arama motorları için uygun şekilde optimize edilmiştir ve ilgili tüm sorgular için arama motoru sonuç sayfalarında oldukça üst sıralarda yer alır.
Saldırganlar hem kendi etki alanlarını hem de AWS'de barındırılan siteleri kullanır ve bazı durumlarda ziyaretçileri teslimat sayfasına ulaşmadan önce birden çok kez yönlendirir. Bu, açılış sayfasının yasal ancak saldırıya uğramış bir sitede olabileceği anlamına gelir.
Kötü amaçlı yazılımın kendisi de bir dizi önemli değişiklik geçirdi. Araştırmacılar, programın daha hafif hale geldiğini ve daha iyi saklanmak ve daha kolay yayılmak için çeşitli özelliklerini kaybettiğini söylüyor. Aynı zamanda, koruma işlevi kaldırıldı Gizlilik Korumalı Alanıyanı sıra ekran görüntüsü alma yeteneği. Kötü amaçlı yazılım artık masaüstündeki TXT dosyalarında veri toplayamıyor ve artık ikinci bir C2 bağlantısı ve sızma klasörüne sahip değil. Kötü amaçlı yazılımın en son sürümünde, bilgi hırsızlığı için yalnızca işlemci çekirdeği sayısı üzerinde bir anti-VM denetimi ve ayrıca tek bir C2 bileşiği bulunur. Araştırmacılar, aynı zamanda saldırganların C2 ve dropper sitelerini sürekli olarak güncellediklerini söylüyor.
"Kod, dosya gönderirken, gönderilen dosyanın verilerini başlığa manuel olarak ekleme yönteminin basit bir API kullanan bir yöntemle değiştirildiğini gösteriyor. Kullanıcı aracısının gönderildiğinde değeri de değişti, ”diye bildirdi araştırmacılar bir blog gönderisinde. Yeni sürüm, Chrome'un tüm sürümlerinde de düzgün çalışıyor gibi görünürken, eski sürümler yalnızca Chrome 81 - 95'te çalıştı.
Ayrıca okuyun: