Outro ladrão de informações está sendo distribuído com a ajuda de sites de software pirata. CryptBotName, um conhecido Infostealer, foi “visto” em vários sites que oferecem downloads gratuitos de jogos crackeados e software de nível profissional.
CryptBotName: Um Infostealer em constante evolução
O Cryptbot foi descrito como “um típico infostealer, capaz de obter credenciais para navegadores, carteiras de criptomoedas, cookies do navegador, cartões de crédito, e cria capturas de tela do sistema infectado.” Os detalhes roubados são agrupados em arquivos zip e carregados no servidor de comando e controle.
Como apontado por pesquisadores da Asec, CryptBot está em constante evolução, com páginas de distribuição constantemente sendo recém-criadas. Em termos de como o ataque é realizado, uma vez que o usuário clica em um botão de download em um dos sites dos invasores, o usuário é levado por vários redirecionamentos, com um redirecionamento final para a página de distribuição de malware. Deve-se notar que novos tipos desses redirecionamentos estão sendo criados constantemente.
De acordo com o relatório da Asec, “não apenas as páginas de distribuição estão mudando, mas o próprio CryptBot também está mudando ativamente, e uma nova versão com uma modificação em larga escala está sendo distribuída recentemente.” Os autores do malware removeram alguns dos recursos adicionais do CryptBot para simplificar, e o código de infostealing foi alterado para se adaptar ao novo ambiente do navegador.
O recurso anti-sandbox foi excluído, bem como os recursos de roubo de informações de coleta de arquivos TXT na área de trabalho. “O comportamento de autoexclusão que foi executado quando foi detectado por uma rotina anti-VM ou quando concluiu todos os comportamentos maliciosos e foi encerrado também foi excluído,”O relatório observou.
Com todos esses recursos adicionais desaparecendo, novos foram adicionados, como adicionar todos os nomes de caminho do navegador Chrome mais recentes.
“A versão anterior do código CryptBot foi estruturada de forma que, se pelo menos um dado não existisse na lista de dados de destino para roubo, o comportamento de inforoubo falharia. assim, infostealing foi bem sucedido apenas quando o sistema infectado usou o navegador Chrome v81 – v95. O código recentemente aprimorado pode roubar se os dados de destino existirem, independentemente da versão," Os pesquisadores disse.
Esta não é a primeira campanha maliciosa que usa instaladores crackeados falsos para entregar malware. Ano passado, Os pesquisadores da Sophos realizaram uma investigação completa em uma rede de sites relacionados a uma campanha de infostealer Racoon, atuando como um “conta-gotas como serviço”. Esta rede distribuiu uma variedade de pacotes de malware, “Muitas vezes agrupando malware não relacionado em um único conta-gotas,”Incluindo bots de fraude de cliques, outros infostealers, e ransomware.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: