Ein weiterer Informationsdieb wird mithilfe von Raubkopien von Software-Websites verbreitet. CryptBot, ein bekannter infostealer, wurde auf zahlreichen Websites „gesehen“, die kostenlose Downloads für gecrackte Spiele und professionelle Software anbieten.
CryptBot: Ein sich ständig weiterentwickelnder Infostealer
Cryptbot war beschrieben als „ein typischer Infostealer, in der Lage, Anmeldeinformationen für Browser zu erhalten, Geldbörsen für Kryptowährungen, Browser-Cookies, Kreditkarten, und erstellt Screenshots des infizierten Systems.“ Gestohlene Details werden in ZIP-Dateien gebündelt und auf den Command-and-Control-Server hochgeladen.
Wie von Asec-Forschern hervorgehoben, CryptBot entwickelt sich ständig weiter, mit ständig neu erstellten Distributionsseiten. In Bezug darauf, wie der Angriff ausgeführt wird, sobald der Benutzer auf einer der Angreiferseiten auf einen Download-Button klickt, Der Benutzer wird durch mehrere Weiterleitungen geführt, mit einer abschließenden Weiterleitung zur Malware-Verteilungsseite. Es ist zu beachten, dass ständig neue Arten dieser Weiterleitungen erstellt werden.
Laut Asecs Bericht, „Nicht nur die Vertriebsseiten ändern sich, aber auch der CryptBot selbst verändert sich aktiv, und eine neue Version mit einer großen Modifikation wird kürzlich verteilt.“ Die Malware-Autoren haben einige der zusätzlichen Funktionen von CryptBot zur Vereinfachung entfernt, und der Infostealing-Code wurde geändert, um sich an die neue Browserumgebung anzupassen.
Die Anti-Sandbox-Funktion wurde gelöscht, sowie die Infostealing-Funktionen zum Sammeln von TXT-Dateien auf dem Desktop. „Das Verhalten der Selbstlöschung, das ausgeführt wurde, als es von einer Anti-VM-Routine erkannt wurde oder als es alle böswilligen Verhaltensweisen beendete und beendet wurde, wurde ebenfalls gelöscht,”Stellte der Bericht fest.
Mit all diesen zusätzlichen Funktionen, die weg sind, neue kamen hinzu, wie das Hinzufügen aller neuesten Chrome-Browser-Pfadnamen.
„Die vorherige Version des CryptBot-Codes war so strukturiert, dass, wenn mindestens ein Datenelement nicht vorhanden war, die Liste der Zieldaten für den Diebstahl nicht vorhanden war, das Infosstealing-Verhalten würde fehlschlagen. So, Infostealing war nur erfolgreich, wenn das infizierte System den Chrome-Browser v81 – v95 verwendete. Der kürzlich verbesserte Code kann unabhängig von der Version stehlen, wenn die Zieldaten vorhanden sind," die Forscher sagte.
Dies ist nicht die erste bösartige Kampagne, die gefälschte gecrackte Installationsprogramme verwendet, um Malware zu verbreiten. Letztes Jahr, Sophos-Forscher führten eine gründliche Untersuchung eines Netzwerks von Websites durch, die mit diesem Thema in Verbindung stehen eine Racoon-Infostealer-Kampagne, als „Dropper as a Service“ fungieren. Dieses Netzwerk verteilte eine Vielzahl von Malware-Paketen, „häufig nicht verwandte Malware in einem einzigen Dropper gebündelt,” einschließlich Klickbetrug-Bots, andere infostealer, und Ransomware.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: