攻擊者將 CryptBot 惡意軟件偽裝成新遊戲和專業級軟件的破解。 Ahn Lab 的網絡安全研究人員發現了一個新的 CryptBot 分發活動,這是一個信息竊取程序,能夠從受感染的端點提取保存的瀏覽器密碼、cookie、瀏覽器歷史記錄、加密錢包數據、信用卡信息和文件。
該活動包括創建一些網站,宣傳專業級電腦遊戲和軟件的破解。 這些網站和登錄頁面針對搜索引擎進行了適當優化,並且在所有相關查詢的搜索引擎結果頁面上排名很高。
不僅如此,攻擊者還使用他們自己的域和託管在 AWS 上的站點,並且在某些情況下,在訪問者到達交付頁面之前會多次重定向訪問者。 這意味著著陸頁本身可能位於合法但被黑的網站上。
惡意軟件本身也發生了許多重大變化。 研究人員表示,該程序已經變得更輕,並且失去了一些功能,以便更好地隱藏和更容易傳播。 同時去掉了保護功能 隱私沙箱,以及截屏的能力。 該惡意軟件無法再在桌面上收集 TXT 文件中的數據,並且它不再具有第二個 C2 連接和滲透文件夾。 在最新版本的惡意軟件中,只有對處理器內核數量的反虛擬機檢查,以及用於信息竊取的單個 C2 化合物。 研究人員說,與此同時,攻擊者似乎在不斷更新他們的 C2 和 dropper 站點。
“代碼顯示,在發送文件時,將發送文件的數據手動添加到header中的方法已更改為使用簡單API的方法。 發送時用戶代理的價值也發生了變化,”研究人員在一篇博客文章中報告說。 新版本似乎也適用於所有版本的 Chrome,而舊版本僅適用於 Chrome 81 - 95。
另請閱讀: