Een andere informatie-stealer wordt verspreid met behulp van illegale softwarewebsites. CryptBot, een bekende infostealer, is "gezien" op talloze sites die gratis downloads aanbieden voor gekraakte games en professionele software.
CryptBot: Een constant evoluerende Infostealer
Cryptobot is geweest beschreven als “een typische infostealer”, in staat om inloggegevens voor browsers te verkrijgen, portemonnees voor cryptovaluta, browser cookies, kredietkaarten, en maakt screenshots van het geïnfecteerde systeem.” Gestolen details worden gebundeld in zip-bestanden en geüpload naar de command-and-control-server.
Zoals opgemerkt door Asec-onderzoekers, CryptBot evolueert voortdurend, met distributiepagina's die constant nieuw worden gemaakt. In termen van hoe de aanval wordt uitgevoerd, zodra de gebruiker op een downloadknop op een van de sites van de aanvallers klikt, de gebruiker wordt door meerdere omleidingen geleid, met een laatste omleiding naar de malwaredistributiepagina. Opgemerkt moet worden dat er voortdurend nieuwe soorten van deze omleidingen worden gemaakt.
Volgens het rapport van Asec, "niet alleen de distributiepagina's veranderen, maar de CryptBot zelf is ook actief aan het veranderen, en onlangs wordt een nieuwe versie met een grootschalige wijziging verspreid.” De malware-auteurs hebben enkele extra functies van CryptBot verwijderd ter vereenvoudiging, en de infostealing-code is gewijzigd om zich aan te passen aan de nieuwe browseromgeving.
De anti-sandbox-functie is verwijderd, evenals de infostealing-functies van het verzamelen van TXT-bestanden op de desktop. “Het gedrag van zelfverwijdering dat werd uitgevoerd toen het werd gedetecteerd door een anti-VM-routine of wanneer het al het kwaadaardig gedrag voltooide en werd beëindigd, werd ook verwijderd,'Merkte het rapport op.
Nu al deze extra functies verdwenen zijn, er zijn nieuwe toegevoegd, zoals het toevoegen van de nieuwste Chrome-browserpadnamen.
“De vorige versie van CryptBot-code was zo gestructureerd dat als ten minste één stuk gegevens niet bestond uit de lijst met doelgegevens voor stelen, het infostelen zou mislukken. Dus, infostealing was alleen succesvol wanneer het geïnfecteerde systeem Chrome-browser v81 – v95 gebruikte. De recent verbeterde code kan stelen als de doelgegevens bestaan, ongeacht de versie," de onderzoekers zei.
Dit is niet de eerste kwaadaardige campagne die nep-gekraakte installatieprogramma's gebruikt om malware te leveren. Vorig jaar, Sophos-onderzoekers hebben een grondig onderzoek gedaan naar een netwerk van websites gerelateerd aan een Racoon infostealer-campagne, optreden als een "druppelaar als een service". Dit netwerk verspreidde verschillende malwarepakketten, "vaak bundelen niet-gerelateerde malware samen in een enkele druppelaar,” inclusief klikfraudebots, andere infostealers, en ransomware.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: