Aktorzy stanowiący zagrożenie maskują złośliwe oprogramowanie CryptBot za pomocą cracków do nowych gier i profesjonalnego oprogramowania.
Analitycy cyberbezpieczeństwa Ahn Lab odkryli nową kampanię mającą na celu dystrybucję CryptBot, narzędzia do kradzieży informacji zdolnego do eksfiltracji zapisanych haseł przeglądarki, plików cookie, historii przeglądarki, danych portfela kryptograficznego, informacji o kartach kredytowych i plików z zaatakowanych punktów końcowych.
Kampania polega na stworzeniu różnych stron internetowych promujących cracki do gier i profesjonalne oprogramowanie komputerowe. Te witryny i strony docelowe są dobrze zoptymalizowane pod kątem wyszukiwarek i zajmują dość wysokie pozycje na stronach wyników wyszukiwania (SERP) dla wszystkich właściwych haseł.
lżejsze złośliwe oprogramowanie
Ponadto napastnicy używają zarówno niestandardowych domen, jak i witryn hostowanych przez AWS, aw niektórych przypadkach wielokrotnie przekierowują odwiedzających, zanim przeniosą ich na stronę dostawy. Oznacza to, że sama strona docelowa może znajdować się w legalnej, ale zagrożonej witrynie.
Samo szkodliwe oprogramowanie również przeszło szereg istotnych zmian. Naukowcy twierdzą, że program został odchudzony i utracił niektóre funkcje, aby lepiej go ukryć i łatwiej rozpowszechniać.
To powiedziawszy, procedura anty-piaskownicy została usunięta, wraz z możliwością robienia zrzutów ekranu. Złośliwe oprogramowanie nie może już zbierać danych z plików TXT na pulpicie i nie ma już drugiego folderu eksfiltracji i logowania C2. Najnowsza wersja tego złośliwego oprogramowania ma tylko sprawdzanie liczby rdzeni procesora anty-VM i jeden moduł kradnący informacje C2.
Jednocześnie według naukowców osoby atakujące wydają się „stale” aktualizować swoje strony C2 i upuszczać je.
„Z kodu wynika, że przy wysyłaniu plików metoda ręcznego dodawania danych przesyłanego pliku do nagłówka została zastąpiona metodą wykorzystującą proste API. Wartość agenta użytkownika podczas przesyłania również została zmieniona” – napisali naukowcy w poście na blogu.
„Stara wersja wywołuje funkcję dwukrotnie, aby wysłać każdą do innego C2, ale w zmodyfikowanej wersji adres URL C2 jest zakodowany na stałe w funkcji”.
Nowy wariant wydaje się również działać dobrze we wszystkich wersjach Chrome, podczas gdy stare działały tylko w Chrome 81–95.
Przez: BleepingComputer