Зловмисники маскують шкідливе програмне забезпечення (ПЗ) CryptBot у кряках для нових ігор та програмного забезпечення професійного рівня. Дослідники кібербезпеки з Ahn Lab виявили нову кампанію з поширення CryptBot – інфовикрадача, здатного витягувати збережені паролі браузера, кукі, історію браузера, дані з криптогаманців, інформацію про кредитні картки та файли зі зламаних кінцевих точок.
Кампанія полягає у створенні безлічі веб-сайтів, що рекламують кряки для комп’ютерних ігор та програмного забезпечення професійного рівня. Ці сайти та цільові сторінки належним чином оптимізовані для пошукових систем та займають досить високі позиції на сторінках результатів пошукових систем за всіма потрібними запитами.
Мало того, зловмисники використовують як власні домени, так і сайти, розміщені на AWS, і в деяких випадках перенаправляють відвідувачів кілька разів, перш ніж вони потрапляють на сторінку доставки. Це означає, що сама цільова сторінка може бути на легітимному, але зламаному сайті.
Сама шкідлива програма також зазнала низки серйозних змін. Дослідники стверджують, що програма стала легшою і втратила кілька функцій, щоб краще ховатися та легше поширюватися. При цьому було видалено функцію захисту від Privacy Sandbox, а також можливість робити скріншоти. Шкідлива програма більше не може збирати дані в файлах TXT на робочому столі, а також більше не має другої папки підключення та ексфільтрації C2. В останній версії шкідливої програми є лише анти-VM перевірка кількості процесорних ядер, а також єдина сполука C2 для крадіжки інформації. Одночасно, зловмисники, схоже, постійно оновлюють свій C2 та сайти дропперів, кажуть дослідники.
«Код показує, що при надсиланні файлів метод ручного додавання даних відправленого файлу в заголовок був змінений на метод, що використовує простий API. Значення user-agent при відправці також було змінено», – повідомляють дослідники у блозі. Новий варіант також, схоже, працює правильно на всіх версіях Chrome, тоді як старі версії працювали тільки на Chrome 81 – 95.
Читайте також: