Μια νέα έκδοση του CryptBot info stealer malware διανέμεται μέσω πειρατικών sites που προσφέρουν δωρεάν λήψεις cracks για παιχνίδια και pro-grade software.
Το CryptBot είναι ένα malware που στοχεύει Windows και κλέβει πληροφορίες από μολυσμένες συσκευές: αποθηκευμένα browser credentials, cookies, ιστορικό προγράμματος περιήγησης, cryptocurrency wallets, στοιχεία πιστωτικών καρτών και αρχεία.
Δείτε επίσης: Meyer Corporation: Παραβίαση δεδομένων επηρέασε υπαλλήλους
Η τελευταία έκδοση διαθέτει νέες δυνατότητες, ενώ φαίνεται ότι οι δημιουργοί του έχουν αφαιρέσει μερικές από τις παλαιότερες λειτουργίες για να κάνουν το εργαλείο τους πιο αποτελεσματικό.
Αναλυτές ασφαλείας της Ahn Lab ανέφεραν ότι οι παράγοντες απειλών ανανεώνουν συνεχώς το C2, τα dropper sites και το ίδιο το malware, επομένως το CryptBot είναι επί του παρόντος μια από τις πιο μεταβαλλόμενες κακόβουλες λειτουργίες.
Χρήση αποτελεσμάτων αναζήτησης για παράδοση του CryptBot malware
Σύμφωνα με την αναφορά της Ahn Lab, οι φορείς του CryptBot διανέμουν το κακόβουλο λογισμικό μέσω πειρατικών sites που προσποιούνται ότι προσφέρουν software cracks, key generators και άλλα προγράμματα.
Για να αποκτήσουν ευρεία προβολή, οι επιτιθέμενοι φροντίζουν ώστε να εμφανίζουν τα πειρατικά sites που διανέμουν το malware, στην κορυφή των αποτελεσμάτων αναζήτησης Google. Με αυτόν τον τρόπο, αυξάνονται οι πιθανότητες να επισκεφτεί κάποιος τα sites.
Δείτε επίσης: Phishing εκστρατεία στοχεύει χρήστες της τραπεζικής πλατφόρμας Monzo
Οι επιτιθέμενοι χρησιμοποιούν τόσο custom domains όσο και websites που φιλοξενούνται στο Amazon AWS.
Οι επισκέπτες των πειρατικών sites ανακατευθύνονται σε διάφορες σελίδες, προτού καταλήξουν στη σελίδα παράδοσης του CryptBot malware. Επομένως η σελίδα προορισμού θα μπορούσε να βρίσκεται σε έναν παραβιασμένο νόμιμο ιστότοπο που χρησιμοποιείται για SEO poisoning επιθέσεις.
Οι χειριστές του CryptBot είχαν χρησιμοποιήσει στο παρελθόν ψεύτικα VPN sites για να παραδώσουν το malware στα θύματα. Επομένως η κατάχρηση μηχανών αναζήτησης δεν είναι νέο κόλπο.
CryptBot: Οι χειριστές έχουν αφαιρέσει κάποιες δυνατότητες
Όπως είπαμε και παραπάνω, η νέα έκδοση του CryptBot δείχνει ότι οι δημιουργοί έχουν προσθέσει αλλά έχουν αφαιρέσει και κάποια από τα προηγούμενα χαρακτηριστικά. Αυτό δείχνει ότι θέλουν να απλοποιήσουν τη λειτουργικότητα του malware και να το κάνουν πιο “ελαφρύ” και ευέλικτο. Επίσης, θέλουν να μειώσουν τις πιθανότητες να εντοπιστεί.
Δείτε επίσης: Τι είναι Digital Forensics; Τα καλύτερα forensics tools και ψηφιακές επιθέσεις
Σε αυτό το πλαίσιο, έχουν αφαιρεθεί στοιχεία, που θεωρούνταν περιττά για τη λειτουργία και την αποτελεσματικότητα του malware.
Μεταξύ των χαρακτηριστικών που έχουν αφαιρεθεί είναι και η λειτουργία screenshot και η επιλογή συλλογής δεδομένων σε αρχεία TXT στο desktop.
Λειτουργεί σε όλες τις εκδόσεις του Chrome
Από την άλλη πλευρά, η τελευταία έκδοση του CryptBot φέρνει ορισμένες στοχευμένες προσθήκες και βελτιώσεις που το καθιστούν πολύ πιο ισχυρό. Σε προηγούμενες εκδόσεις, το κακόβουλο λογισμικό μπορούσε να εκμεταλλευτεί δεδομένα μόνο σε εκδόσεις Chrome μεταξύ 81 και 95.
Αυτός ο περιορισμός προέκυπτε από την εφαρμογή ενός συστήματος που αναζητούσε δεδομένα χρήστη σε σταθερά file paths, και εάν αυτά ήταν διαφορετικά, το κακόβουλο λογισμικό επέστρεφε σφάλμα.
Τώρα, πραγματοποιεί αναζήτηση σε όλα τα file paths και αν βρεθούν δεδομένα χρήστη οπουδήποτε, τα κλέβει, ανεξάρτητα από την έκδοση του Chrome. Αυτό σημαίνει ότι ο κίνδυνος είναι μεγάλος.
Καθώς, όμως, το CryptBot στοχεύει κυρίως άτομα που αναζητούν software cracks, warez και άλλα σχετικά προγράμματα μέσω πειρατικών sites, η απλή αποφυγή της λήψης αυτών των εργαλείων θα αποτρέψει τη μόλυνση από αυτό το κακόβουλο λογισμικό (και πολλά άλλα).
Πηγή: Bleeping Computer
