Un altro ladro di informazioni viene distribuito con l'aiuto di siti Web di software piratati. CryptoBot, un ben noto Infostealer, è stato "visto" su numerosi siti che offrono download gratuiti per giochi crackati e software di livello professionale.
CryptoBot: Un Infostealer in continua evoluzione
Cryptobot è stato descritta come “un tipico infostealer, in grado di ottenere le credenziali per i browser, portafogli di criptovaluta, cookie del browser, carte di credito, e crea schermate del sistema infetto." I dettagli rubati vengono raggruppati in file zip e caricati sul server di comando e controllo.
Come sottolineato dai ricercatori dell'Asec, CryptBot è in continua evoluzione, con pagine di distribuzione costantemente nuove. In termini di modalità di esecuzione dell'attacco, una volta che l'utente fa clic su un pulsante di download su uno dei siti degli aggressori, l'utente viene portato attraverso più reindirizzamenti, con un reindirizzamento finale alla pagina di distribuzione del malware. Va notato che vengono costantemente creati nuovi tipi di questi reindirizzamenti.
Secondo il rapporto dell'Asec, “non solo le pagine di distribuzione stanno cambiando, ma anche lo stesso CryptBot sta cambiando attivamente, e una nuova versione con una modifica su larga scala è stata recentemente distribuita". Gli autori del malware hanno rimosso alcune delle funzionalità aggiuntive di CryptBot per semplificazione, e il codice di infostealing è stato modificato per adattarsi al nuovo ambiente del browser.
La funzione anti-sandbox è stata eliminata, così come le funzionalità di furto di informazioni per la raccolta di file TXT sul desktop. "Anche il comportamento di eliminazione automatica eseguito quando è stato rilevato da una routine anti-VM o quando ha completato tutti i comportamenti dannosi ed è stato interrotto è stato eliminato,"Osserva il rapporto.
Con tutte queste funzionalità aggiuntive scomparse, ne sono stati aggiunti di nuovi, come l'aggiunta di tutti i più recenti nomi di percorsi del browser Chrome.
"La versione precedente del codice CryptBot era strutturata in modo tale che se almeno un dato non esisteva dall'elenco dei dati di destinazione per il furto, il comportamento di furto di informazioni fallirebbe. Così, l'infostealing ha avuto successo solo quando il sistema infetto ha utilizzato il browser Chrome v81 – v95. Il codice recentemente migliorato può rubare se i dati di destinazione esistono indipendentemente dalla versione,”i ricercatori disse.
Questa non è la prima campagna dannosa che utilizza programmi di installazione falsi per fornire malware. L'anno scorso, I ricercatori Sophos hanno condotto un'indagine approfondita su una rete di siti Web correlati una campagna di infostealer di Racoon, agendo come un "contagocce come servizio". Questa rete ha distribuito una varietà di pacchetti malware, "spesso raggruppando malware non correlati in un unico contagocce,"compresi i bot clickfraud, altri infostealer, e ransomware.