Cryptbot Info Stealer'ın yeni bir versiyonu, oyunlar için çatlaklar ve yanlısı yazılımlar için ücretsiz indirmeler sunan birden fazla web sitesi üzerinden dağıtımda görüldü.
CryptBot, kaydedilmiş tarayıcı kimlik bilgileri, çerezler, tarayıcı geçmişi, kriptoCurrency cüzdanları, kredi kartları ve dosyalar dahil olmak üzere enfekte olmuş cihazlardan bilgi çalan bir Windows kötü amaçlı yazılımdır.
En son sürüm, yeni yeteneklere ve optimizasyonlara sahiptir, malware yazılımları araçlarını daha zayıf ve daha verimli hale getirmek için birkaç eski işlevi de sildi.
ANN Lab'deki güvenlik analistleri, tehdit aktörlerinin C2, damlalık sitelerini ve kötü amaçlı yazılımların kendilerini sürekli olarak yenileyeceğini, bu yüzden CryptBot şu anda en değişen kötü amaçlı operasyonlardan biridir.
AHN LAB Raporuna göre, CryptBot tehdidi aktörleri, yazılım çatlakları, anahtar jeneratörleri veya diğer yardımcı programlar sunduğu gibi davranan web siteleri aracılığıyla kötü amaçlı yazılımları dağıtıyor.
Geniş görünürlük kazanmak için, tehdit aktörleri, Arama Motoru optimizasyonunu, Google Arama sonuçlarının üstündeki kötü amaçlı yazılım dağıtım sitelerini sıralamak için kullanışlı bir mücadelenin istikrarlı bir akışını sağlar.
Kötü amaçlı yazılım dağıtım sitelerinden paylaşılan ekran görüntüsüne göre, tehdit aktörleri Amazon AWS'de barındırılan hem özel alanları veya web sitelerini kullanıyor.
Kötü niyetli web siteleri sürekli yenilenir, bu nedenle kullanıcıları kötü amaçlı yazılım dağıtım sitelerine çekmek için çok çeşitli şitomazan lures var.
Bu sitelerin ziyaretçileri, teslimat sayfasına girmeden önce bir dizi yönlendirmeden alınır, bu nedenle iniş sayfası, SEO zehirlenmesi saldırıları için taciz edilen tehlikeye atılmış bir meşru site üzerinde olabilir.
Cryptbot'u önceki yıllarda kurbanlara teslim etmek için sahte VPN sitelerini kullanarak aynı kötü amaçlı yazılım operatörlerini gördük, bu yüzden arama motoru istismarı yeni bir numara değil.
Cryptbot'un taze örnekleri, yazarlarının işlevselliğini basitleştirmek ve kötü amaçlı yazılımları daha hafif, daha az ve daha az tespit edilme olasılığını basitleştirmek istediğini göstermektedir.
Bu bağlamda, anti-Sandbox rutini kaldırıldı, yalnızca en yeni sürümdeki anti-VM CPU çekirdek sayımı kontrolünü bıraktı.
Ayrıca, yedek ikinci C2 bağlantısı ve ikinci exfiltration klasörü hem çıkarıldı ve yeni varyant yalnızca tek bir bilgi çalma C2'ye sahiptir.
"Kod, dosya gönderirken, gönderilen dosya verilerini el ile ekleme yöntemini başlığa el ile ekleme yöntemi, basit API kullanan yönteme değiştirildi. Gönderildiğinde Kullanıcı Ajan Değeri,"
"Önceki sürüm, işlevi her birini farklı bir C2'ye göndermek için iki kez arar, ancak değiştirilen sürümde, bir C2 URL'si işlev içinde kodlanmıştır."
Başka bir özellik CryptBot'un yazarları hurdaya çıktı, ekran görüntüsü işlevi ve çok riskli ve belki de exfiltrasyon sırasında kolayca tespit edilen masaüstünde TXT dosyalarında veri toplama seçeneğidir.
Öte yandan, CryptBot'un en son sürümü, bunu çok daha güçlü yapan bazı hedefler ve iyileştirmeler getiriyor.
Önceki sürümlerde, kötü amaçlı yazılımlar, 81 ile 95 arasında krom sürümlerine karşı konuşlandırıldığında verileri yalnızca başarıyla ekstralandırılabilir.
Bu sınırlama, sabit dosya yollarında kullanıcı verilerini arayan bir sistemi uygulamaktan ve yollar farklıysa, kötü amaçlı yazılımlar bir hata döndürdü.
Şimdi, tüm dosya yollarını arar ve kullanıcı verileri herhangi bir yerde bulunursa, krom sürümünden bağımsız olarak onları ekstratlar.
Google'ın Kasım 2021'de Krom 96'yı devreye girdiğini göz önüne alarak CryptBot, yaklaşık üç ay boyunca hedeflerinin çoğuna karşı etkisiz kaldı, bu yüzden bu sorunu çözmek, operatörleri için de gecikmişti.
Cryptbot'un öncelikle yazılım çatlaklarını, depolama alanlarını ve telif hakkı korumasını yenme yöntemlerini arayan insanları hedefledikten sonra, bu araçların indirilmesinden kaçınmak, bu kötü amaçlı yazılımın enfeksiyonunu önleyecektir.
SEO zehirlenmesi kötü amaçlı yazılımlara bağlanmış zoom, TeamViewer, Visual Studio Instiews
ABD, İngiltere Link Yeni Cyclops Rus Devlet Hacker'larına kötü amaçlı yazılımları yanıp sönüyor
Entropy Ransomware, Evil Corp'un Drex Malware ile Bağlantılı
Kobalt grevi ile hedeflenen savunmasız Microsoft SQL sunucuları
Yeni Golang Botnet, Windows kullanıcılarının Cryptocurrency cüzdanlarını boşalttı
Kaynak: Bleeping Computer