Những kẻ tấn công ngụy trang phần mềm độc hại CryptBot dưới dạng các vết nứt cho các trò chơi mới và phần mềm cấp chuyên nghiệp. Các nhà nghiên cứu an ninh mạng tại Ahn Lab đã phát hiện ra một chiến dịch phân phối CryptBot mới, một kẻ tung tin có khả năng trích xuất mật khẩu trình duyệt đã lưu, cookie, lịch sử trình duyệt, dữ liệu ví tiền điện tử, thông tin thẻ tín dụng và tệp từ các điểm cuối bị xâm phạm.
Chiến dịch này bao gồm việc tạo ra một số trang web quảng cáo crack cho các trò chơi và phần mềm máy tính cấp chuyên nghiệp. Các trang web và trang đích này được tối ưu hóa thích hợp cho các công cụ tìm kiếm và xếp hạng khá cao trên các trang kết quả của công cụ tìm kiếm cho tất cả các truy vấn có liên quan.
Không chỉ vậy, những kẻ tấn công sử dụng cả tên miền và trang web của riêng chúng được lưu trữ trên AWS và trong một số trường hợp, chuyển hướng khách truy cập nhiều lần trước khi họ đến trang phân phối. Điều này có nghĩa là bản thân trang đích có thể nằm trên một trang web hợp pháp nhưng bị tấn công.
Bản thân phần mềm độc hại này cũng đã trải qua một số thay đổi lớn. Các nhà nghiên cứu cho biết chương trình đã trở nên nhẹ hơn và mất đi một số tính năng để ẩn tốt hơn và dễ phát tán hơn. Đồng thời, chức năng bảo vệ đã bị loại bỏ Hộp cát bảo mật, cũng như khả năng chụp ảnh màn hình. Phần mềm độc hại không còn có thể thu thập dữ liệu trong các tệp TXT trên máy tính để bàn và nó không còn kết nối C2 thứ hai và thư mục lọc. Trong phiên bản mới nhất của phần mềm độc hại, chỉ có kiểm tra chống máy ảo về số lượng lõi bộ xử lý, cũng như một hợp chất C2 duy nhất để đánh cắp thông tin. Đồng thời, những kẻ tấn công dường như liên tục cập nhật các trang web C2 và ống nhỏ giọt của họ, các nhà nghiên cứu cho biết.
"Đoạn mã cho thấy rằng khi gửi tệp, phương pháp thêm thủ công dữ liệu của tệp đã gửi vào tiêu đề đã được thay đổi thành phương pháp sử dụng một API đơn giản. Giá trị của tác nhân người dùng khi được gửi đi cũng bị thay đổi, ”các nhà nghiên cứu báo cáo trong một bài đăng trên blog. Phiên bản mới dường như hoạt động bình thường trên tất cả các phiên bản Chrome, trong khi các phiên bản cũ chỉ hoạt động trên Chrome 81 - 95.
Đọc thêm: