Tehdit aktörleri, CryptBot kötü amaçlı yazılımını yeni oyunlar ve profesyonel düzey yazılımlar için çatlaklarla maskeliyor.
Ahn Lab’den siber güvenlik araştırmacıları, kaydedilmiş tarayıcı şifrelerini, çerezleri, tarayıcı geçmişini, kripto cüzdanlarındaki verileri, kredi kartı bilgilerini ve dosyaları ele geçirilmiş uç noktalardan sızdırabilen bir bilgi hırsızı olan CryptBot’u dağıtmak için yeni bir kampanya buldu.
Kampanya, bilgisayar oyunları ve profesyonel düzeyde yazılımlar için crack’leri tanıtan birden fazla web sitesi oluşturma etrafında dönüyor. Bu web siteleri ve açılış sayfaları, arama motorları için uygun şekilde optimize edilmiştir ve tüm doğru terimler için arama motoru sonuç sayfalarında (SERP) oldukça üst sıralarda yer alır.
Daha hafif kötü amaçlı yazılım
Dahası, saldırganlar hem özel etki alanlarını hem de AWS tarafından barındırılan siteleri kullanıyor ve bazı durumlarda ziyaretçileri teslimat sayfasına indirmeden önce birden çok kez yeniden yönlendiriyor. Bu, açılış sayfasının yasal ancak güvenliği ihlal edilmiş bir sitede olabileceği anlamına gelir.
Kötü amaçlı yazılımın kendisi de bir dizi büyük değişiklik geçirdi. Araştırmacılar, programın daha iyi gizlenmesi ve daha kolay dağıtılması için daha hafif hale geldiğini ve birkaç özelliği kaybettiğini söylüyorlar.
Bununla birlikte, korumalı alan karşıtı rutinin yanı sıra ekran görüntüsü alma özelliği de kaldırıldı. Kötü amaçlı yazılım artık masaüstündeki TXT dosyaları hakkında veri toplayamıyor ve artık ikinci C2 bağlantısı ve sızma klasörüne sahip değil. Kötü amaçlı yazılımın en son sürümü yalnızca VM karşıtı CPU çekirdek sayısı denetimine ve tek bir bilgi çalma C2’ye sahiptir.
Aynı zamanda, araştırmacılar, saldırganların C2’lerini ve damlalık sitelerini “sürekli” yeniliyor gibi görünüyor.
Araştırmacılar bir blog yazısında, “Kod, dosya gönderirken, gönderilen dosya verilerini başlığa manuel olarak ekleme yönteminin basit API kullanan yönteme değiştirildiğini gösteriyor. Gönderirken user-agent değeri de değiştirildi” dedi.
“Önceki sürüm, her birini farklı bir C2’ye göndermek için işlevi iki kez çağırır, ancak değiştirilen sürümde, işlevde bir C2 URL’si sabit kodlanmıştır.”
Yeni varyant ayrıca tüm Chrome sürümlerinde düzgün çalışıyor gibi görünürken, eskileri yalnızca Chrome 81 – 95’te çalıştı.
Üzerinden: BleeBilgisayar