ผู้คุกคามปิดบังมัลแวร์ CryptBot ด้วยรอยแตกสำหรับเกมใหม่และซอฟต์แวร์ระดับมืออาชีพ
นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Ahn Lab ค้นพบแคมเปญใหม่ในการแจกจ่าย CryptBot ซึ่งเป็นตัวขโมยข้อมูลที่สามารถกรองรหัสผ่านของเบราว์เซอร์ที่บันทึกไว้ คุกกี้ ประวัติเบราว์เซอร์ ข้อมูลกระเป๋าเงินเข้ารหัสลับ ข้อมูลบัตรเครดิต และไฟล์ จากปลายทางที่ถูกบุกรุก
แคมเปญนี้เกี่ยวข้องกับการสร้างเว็บไซต์ต่างๆ ที่ส่งเสริมการแคร็กสำหรับเกมระดับมืออาชีพและซอฟต์แวร์คอมพิวเตอร์ เว็บไซต์และหน้า Landing Page เหล่านี้ได้รับการปรับให้เหมาะสมสำหรับเครื่องมือค้นหา โดยอยู่ในอันดับที่ค่อนข้างสูงในหน้าผลลัพธ์ของเครื่องมือค้นหา (SERP) สำหรับเงื่อนไขที่ถูกต้องทั้งหมด
มัลแวร์ที่เบากว่า
นอกจากนี้ ผู้โจมตียังใช้ทั้งโดเมนที่กำหนดเองและไซต์ที่โฮสต์โดย AWS และในบางกรณี จะเปลี่ยนเส้นทางผู้เยี่ยมชมหลายครั้งก่อนที่จะนำไปที่หน้าการจัดส่ง ซึ่งหมายความว่าหน้า Landing Page อาจอยู่ในไซต์ที่ถูกต้องแต่ถูกบุกรุก
มัลแวร์เองก็ได้รับการเปลี่ยนแปลงที่สำคัญหลายประการเช่นกัน นักวิจัยกล่าวว่าโปรแกรมมีขนาดเล็กลงและสูญเสียคุณสมบัติบางอย่างไปเพื่อซ่อนและแจกจ่ายได้ง่ายขึ้น
ที่กล่าวว่ารูทีนต่อต้านแซนด์บ็อกซ์ถูกลบออกไปพร้อมกับความสามารถในการจับภาพหน้าจอ มัลแวร์ไม่สามารถรวบรวมข้อมูลจากไฟล์ TXT บนเดสก์ท็อปได้อีกต่อไป และไม่มีโฟลเดอร์ล็อกอินที่สองและการกรอง C2 อีกต่อไป มัลแวร์เวอร์ชันล่าสุดมีเพียงการตรวจสอบจำนวนคอร์ของ CPU ต่อต้าน VM และตัวขโมยข้อมูล C2 เดียว
Al mismo tiempo, los atacantes parecen actualizar "constantemente" sus sitios C2 y drop, según los investigadores.
“รหัสแสดงให้เห็นว่าเมื่อส่งไฟล์ วิธีการเพิ่มข้อมูลจากไฟล์ที่ส่งไปยังส่วนหัวด้วยตนเองถูกแทนที่ด้วยวิธีการที่ใช้ API อย่างง่าย มูลค่าของตัวแทนผู้ใช้ ณ เวลาส่งก็เปลี่ยนไปเช่นกัน” นักวิจัยกล่าวในบล็อกโพสต์
"La versión anterior llama a la función dos veces para enviar cada uno a un C2 diferente, pero en la versión modificada, una URL de C2 está codificada en la función".
La nueva variante también parece funcionar bien en todas las versiones de Chrome, mientras que las antiguas solo funcionaban en Chrome 81 - 95.
ผ่าน: BleepingComputer