Un autre voleur d'informations est distribué à l'aide de sites Web de logiciels piratés. CryptBot, un bien connu infostealer, a été "vu" sur de nombreux sites proposant des téléchargements gratuits de jeux crackés et de logiciels de qualité professionnelle.
CryptBot: Un voleur d'informations en constante évolution
Cryptobot a été décrit comme "un voleur d'informations typique, capable d'obtenir des informations d'identification pour les navigateurs, portefeuilles de crypto-monnaie, cookies de votre navigateur, cartes de crédit, et crée des captures d'écran du système infecté. Les détails volés sont regroupés dans des fichiers zip et téléchargés sur le serveur de commande et de contrôle.
Comme le soulignent les chercheurs de l'Asec, CryptBot est en constante évolution, avec des pages de distribution constamment renouvelées. En ce qui concerne la manière dont l'attaque est menée, une fois que l'utilisateur clique sur un bouton de téléchargement sur l'un des sites des attaquants, l'utilisateur est redirigé vers plusieurs redirections, avec une redirection finale vers la page de distribution des logiciels malveillants. Il est à noter que de nouveaux types de ces redirections sont constamment créés.
Selon le rapport de l'Asec, "non seulement les pages de distribution changent, mais le CryptBot lui-même change également activement, et une nouvelle version avec une modification à grande échelle est récemment distribuée. Les auteurs du logiciel malveillant ont supprimé certaines des fonctionnalités supplémentaires de CryptBot à des fins de simplification, et le code d'infostealing a été modifié pour s'adapter au nouvel environnement du navigateur.
La fonctionnalité anti-sandbox a été supprimée, ainsi que les fonctionnalités de vol d'informations de la collecte de fichiers TXT sur le bureau. "Le comportement d'auto-suppression qui a été effectué lorsqu'il a été détecté par une routine anti-VM ou lorsqu'il a terminé tous les comportements malveillants et a été terminé a également été supprimé,»Le rapport note.
Avec toutes ces fonctionnalités supplémentaires disparues, de nouveaux ont été ajoutés, comme l'ajout de tous les noms de chemin de navigateur Chrome les plus récents.
"La version précédente du code CryptBot était structurée de manière à ce que si au moins une donnée n'existait pas dans la liste des données cibles à voler, le comportement de vol d'informations échouerait. Si, l'infostealing n'a réussi que lorsque le système infecté a utilisé le navigateur Chrome v81 - v95. Le code récemment amélioré peut voler si les données cibles existent quelle que soit la version," les chercheurs dit.
Ce n'est pas la première campagne malveillante qui utilise de faux installateurs piratés pour diffuser des logiciels malveillants. L'année dernière, Les chercheurs de Sophos ont mené une enquête approfondie sur un réseau de sites Web liés à une campagne de vol d'informations Racoon, agissant comme un « compte-gouttes en tant que service ». Ce réseau a distribué une variété de packages de logiciels malveillants, « regroupant souvent des logiciels malveillants sans rapport dans un seul compte-gouttes," y compris les robots de fraude au clic, autres infostealers, et ransomware.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: