攻击者将 CryptBot 恶意软件伪装成新游戏和专业级软件的破解程序。 Ahn Lab 的网络安全研究人员发现了一个新的 CryptBot 分发活动,这是一个信息窃取程序,能够从受感染的端点提取保存的浏览器密码、cookie、浏览器历史记录、加密钱包数据、信用卡信息和文件。
该活动包括创建多个网站来宣传专业级计算机游戏和软件的破解版。 这些网站和登陆页面针对搜索引擎进行了适当优化,并且在所有相关查询的搜索引擎结果页面上排名很高。
不仅如此,攻击者同时使用他们自己的域和托管在 AWS 上的站点,并且在某些情况下,在访问者到达交付页面之前多次重定向访问者。 这意味着着陆页本身可能位于合法但被黑的网站上。
恶意软件本身也发生了一些重大变化。 研究人员表示,该程序变得更轻便,并失去了一些功能,可以更好地隐藏和更容易传播。 同时去掉了保护功能 隐私沙箱,以及截图的能力。 该恶意软件无法再在桌面上的 TXT 文件中收集数据,也不再具有第二个 C2 连接和渗出文件夹。 在最新版本的恶意软件中,只有对处理器内核数量的反虚拟机检查,以及用于信息窃取的单个 C2 化合物。 与此同时,研究人员表示,攻击者似乎在不断更新他们的 C2 和投放网站。
“代码显示,在发送文件时,将发送文件的数据手动添加到文件头的方法已更改为使用简单 API 的方法。 发送时用户代理的价值也发生了变化,”研究人员在一篇博文中报道。 新版本似乎也适用于所有版本的 Chrome,而旧版本仅适用于 Chrome 81 - 95。
另请阅读: