Malware CryptBot
Versi baru dari Pencuri Info CryptBot terlihat dalam distribusi melalui beberapa situs web yang menawarkan unduhan retakan gratis untuk game dan perangkat lunak pro-grade.
CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.
Versi terbaru menampilkan kemampuan dan optimisasi baru, sedangkan penulis malware juga telah menghapus beberapa fungsi lama untuk membuat alat mereka lebih ramping dan lebih efisien.
Analis keamanan di AHN Lab melaporkan bahwa para aktor ancaman terus-menerus menyegarkan situs C2, dropper, dan malware itu sendiri, sehingga CryptBot saat ini adalah salah satu operasi berbahaya yang paling bergeser.
Menggunakan hasil pencarian untuk pengiriman
Menurut laporan AHN Lab, aktor ancaman kriptbot mendistribusikan malware melalui situs web yang berpura-pura menawarkan retakan perangkat lunak, generator utama, atau utilitas lainnya.
Untuk mendapatkan visibilitas yang luas, para aktor ancaman memanfaatkan optimasi mesin pencari untuk memberi peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.
Menurut tangkapan layar bersama situs distribusi malware, aktor ancaman menggunakan domain atau situs web khusus yang dihosting di Amazon AWS.
Situs web jahat terus-menerus disegarkan, sehingga ada berbagai macam umpan yang selalu bergeser untuk menarik pengguna ke situs distribusi malware.
Pengunjung situs-situs ini diambil melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan dapat berada pada situs yang disempurnakan yang disalahgunakan untuk serangan keracunan SEO.
Kami telah melihat operator malware yang sama menggunakan situs VPN palsu untuk mengirimkan cryptbot kepada para korban pada tahun-tahun sebelumnya, sehingga penyalahgunaan mesin pencari bukanlah trik baru.
Fitur dihapus
Sampel segar kriptbot menunjukkan bahwa penulisnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan cenderung terdeteksi.
Dalam konteks ini, rutin anti-pasir telah dihapus, hanya menyisakan cek inti CPU anti-VM di versi terbaru.
Juga, koneksi C2 kedua yang berlebihan dan folder exfiltration kedua dihapus, dan varian baru hanya menampilkan satu info-mencuri C2.
"Kode menunjukkan bahwa ketika mengirim file, metode secara manual menambahkan data file yang dikirim ke header diubah ke metode yang menggunakan API sederhana. Nilai pengguna-agen saat mengirim juga dimodifikasi," jelas laporan ASEC.
"Versi sebelumnya memanggil fungsi dua kali untuk mengirim masing-masing ke C2 yang berbeda, tetapi dalam versi yang diubah, satu URL C2 dikodekan dalam fungsi."
Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file txt pada desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama exfiltration.
Bekerja pada semua versi Chrome
Di sisi lain, versi terbaru CryptBot membawa beberapa penambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.
Dalam versi sebelumnya, malware hanya dapat berhasil mengeluarkan data ketika dikerahkan terhadap versi Chrome antara 81 dan 95.
Batasan ini muncul dari menerapkan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.
Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, itu mengeluarkannya terlepas dari versi Chrome.
Mempertimbangkan bahwa Google meluncurkan Chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi perbaiki masalah ini sangat terlambat bagi operatornya.
Seperti cryptbot terutama menargetkan orang yang mencari perangkat lunak retak, warez, dan metode lain untuk mengalahkan perlindungan hak cipta, hanya menghindari pengunduhan alat-alat ini akan mencegah infeksi dengan malware ini dan banyak lainnya.