/https://www.html.it/app/uploads/2022/02/malware-cryptbot.jpg "Il ritorno del malware CryptBot")
Il malware CryptBot mascherato da crack per nuovi giochi e software di livello professionale.
Una nuova campagna dei ricercatori di Ahn Lab scopre la recente variante di CryptBot. Si tratta di un infostealer in grado di esfiltrare password del browser salvate, cookie, cronologia del browser, dati da portafogli crittografici, informazioni sulla carta di credito e file da endpoint compromessi.
La campagna prevede la creazione di numerosi siti web che promuovono crack per giochi per computer e software professionali. Questi siti Web e pagine di destinazione sono ben ottimizzati per i motori di ricerca. Questo, soprattutto, grazie al loro posizionamento elevato nelle pagine dei risultati dei motori di ricerca (SERP) per tutti i termini chiave.
Malware più leggero
Inoltre, gli aggressori utilizzano sia domini personalizzati che siti ospitati da AWS. In alcuni casi, i visitatori sono reindirizzati più volte prima di arrivare alla pagina di consegna. Ciò significa che la pagina di destinazione potrebbe essere ospitata su un sito Web legittimo, ma infetto.
Ci sono state una serie di modifiche significative al malware stesso.
Il programma si è alleggerito e ha perso alcune funzionalità, secondo i ricercatori, per essere meglio nascosto e distribuito.
La routine anti-sandbox, così come la possibilità di fare screenshot, entrambe rimosse. Il malware non può più raccogliere dati dai file TXT sul desktop, la seconda connessione C2 e la cartella di esfiltrazione non sono più presenti.
Solo il controllo del conteggio dei core della CPU anti-VM e un singolo C2 per il furto di informazioni sono presenti nell'ultima versione del malware.
Allo stesso tempo, secondo i ricercatori, gli aggressori sembrano aggiornare costantemente i loro siti C2 e contagocce.
Il codice dimostra che durante l'invio di file, il metodo manuale di aggiunta manuale dei dati del file inviato all'intestazione è stato sostituito con un metodo che utilizza una semplice API. Nella versione precedente, la funzione veniva chiamata due volte per inviare ogni richiesta a un diverso C2, ma nella nuova versione, solo un URL C2 è hardcoded.
La nuova variante sembra funzionare anche su tutte le versioni di Chrome, mentre le precedenti funzionavano solo su Chrome 81-95.
/https://www.html.it/app/uploads/2024/04/Google-1.jpg)
/https://www.html.it/app/uploads/2024/04/Trova-il-mio-dispositivo.jpg)
/https://www.html.it/app/uploads/2024/04/AI-Google.jpg)
/https://www.html.it/app/uploads/2023/11/Google-5.jpg)