Les acteurs de la menace masquent les logiciels malveillants CryptBot avec des fissures pour les nouveaux jeux et les logiciels de qualité professionnelle.
Les chercheurs en cybersécurité d'Ahn Lab ont découvert une nouvelle campagne pour distribuer CryptBot, un voleur d'informations capable d'exfiltrer les mots de passe de navigateur enregistrés, les cookies, l'historique du navigateur, les données de portefeuille crypto, les informations de carte de crédit et les fichiers, à partir de points de terminaison compromis. .
La campagne s'articule autour de la création de divers sites Web faisant la promotion de cracks pour des jeux et des logiciels informatiques de qualité professionnelle. Ces sites Web et ces pages de destination sont correctement optimisés pour les moteurs de recherche, se classant assez haut dans les pages de résultats des moteurs de recherche (SERP) pour tous les bons termes.
logiciels malveillants plus légers
De plus, les attaquants utilisent à la fois des domaines personnalisés et des sites hébergés par AWS et, dans certains cas, redirigent les visiteurs plusieurs fois avant de les diriger vers la page de livraison. Cela signifie que la page de destination elle-même pourrait se trouver sur un site légitime mais compromis.
Le logiciel malveillant lui-même a également subi un certain nombre de modifications importantes. Les chercheurs disent que le programme a été allégé et a perdu certaines fonctionnalités pour mieux le cacher et le distribuer plus facilement.
Cela dit, la routine anti-sandbox a été supprimée, ainsi que la possibilité de prendre des captures d'écran. Le logiciel malveillant ne peut plus collecter de données à partir de fichiers TXT sur le bureau et n'a plus le deuxième dossier de connexion et l'exfiltration C2. La dernière version du logiciel malveillant ne dispose que d'une vérification du nombre de cœurs de processeur anti-VM et d'un seul voleur d'informations C2.
Dans le même temps, les attaquants semblent mettre à jour "constamment" leurs sites C2 et drop, selon les chercheurs.
"Le code montre que lors de l'envoi de fichiers, la méthode d'ajout manuel des données du fichier envoyé à l'en-tête a été remplacée par la méthode utilisant une simple API. La valeur de l'agent utilisateur au moment de la soumission a également été modifiée », ont déclaré les chercheurs dans un article de blog.
"L'ancienne version appelle la fonction deux fois pour envoyer chacune à un C2 différent, mais dans la version modifiée, une URL C2 est codée en dur dans la fonction."
La nouvelle variante semble également fonctionner correctement sur toutes les versions de Chrome, tandis que les anciennes ne fonctionnaient que sur Chrome 81 - 95.
Via: BleepingComputer