Otro ladrón de información se está distribuyendo con la ayuda de sitios web de software pirateado.. CryptBot, una bien conocida Infostealer, se ha "visto" en numerosos sitios que ofrecen descargas gratuitas para juegos descifrados y software de nivel profesional.
CryptBot: Un ladrón de información en constante evolución
Cryptbot ha sido descrito como “un típico ladrón de información, capaz de obtener credenciales para navegadores, carteras de criptomonedas, cookies del navegador, tarjetas de crédito, y crea capturas de pantalla del sistema infectado”. Los detalles robados se agrupan en archivos zip y se cargan en el servidor de comando y control.
Tal y como apuntan los investigadores de la Asec, CryptBot está en constante evolución, con páginas de distribución que se crean constantemente. En términos de cómo se lleva a cabo el ataque., una vez que el usuario hace clic en un botón de descarga en uno de los sitios de los atacantes, el usuario es llevado a través de múltiples redireccionamientos, con una redirección final a la página de distribución de malware. Cabe señalar que constantemente se crean nuevos tipos de estas redirecciones.
Según el informe de la Asec, “no solo están cambiando las páginas de distribución, pero el propio CryptBot también está cambiando activamente, y recientemente se está distribuyendo una nueva versión con una modificación a gran escala”. Los autores del malware eliminaron algunas de las funciones adicionales de CryptBot para simplificar, y el código de robo de información se modificó para adaptarse al nuevo entorno del navegador.
La característica anti-sandbox ha sido eliminada, así como las funciones de robo de información de la recopilación de archivos TXT en el escritorio. “También se eliminó el comportamiento de autoeliminación que se realizó cuando fue detectado por una rutina anti-VM o cuando completó todo el comportamiento malicioso y finalizó.,”Señaló el informe.
Con todas estas características adicionales desaparecidas, se agregaron nuevos, como agregar todos los nombres de ruta del navegador Chrome más nuevos.
“La versión anterior del código de CryptBot estaba estructurada de tal manera que si al menos una parte de los datos no existía fuera de la lista de datos de destino para robar, el comportamiento de robo de información fallaría. Así, el robo de información tuvo éxito solo cuando el sistema infectado usó el navegador Chrome v81 – v95. El código mejorado recientemente puede robar si los datos de destino existen independientemente de la versión," los investigadores dijo.
Esta no es la primera campaña maliciosa que usa instaladores crackeados falsos para entregar malware.. El año pasado, Los investigadores de Sophos realizaron una investigación exhaustiva en una red de sitios web relacionados con una campaña de ladrones de información de Racoon, actuando como un "cuentagotas como servicio". Esta red distribuyó una variedad de paquetes de malware., “A menudo agrupa malware no relacionado en un solo cuentagotas,”Incluidos los bots de fraude de clics, otros ladrones de información, y ransomware.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: