ImBetter Stealer

ImBetter е заплашителен софтуер, който е предназначен да краде чувствителна информация от компютърни системи и инсталирани приложения. Този зловреден софтуер е способен да извлича широк набор от лични и поверителни данни, като пароли, идентификационни данни за вход, информация за кредитни карти и други чувствителни данни, които могат да бъдат използвани за измамни дейности. Подробности за веригата на атаката и възможностите на заплахата бяха публикувани в доклад на изследователите по киберсигурност в Cyble Research and Intelligence Labs.

Актьорите на заплахи имитират легитимни уебсайтове за криптовалута, за да разпространят ImBetter Stealer

Киберпрестъпниците използват фишинг уебсайтове, които имитират популярни портфейли за криптовалута и онлайн конвертори на файлове, за да се насочат към потребителите на Windows. Тези злонамерени уебсайтове са предназначени да подмамят потребителите да изтеглят злонамерен софтуер за кражба на информация, който може да компрометира техните чувствителни данни.

Новооткритият злонамерен софтуер за кражба на информация ImBetter е в състояние да открадне поверителни данни от браузъра на жертвите, включително запазени идентификационни данни за вход, бисквитки, потребителски профили и портфейли за криптовалута. Освен това зловредният софтуер прави екранни снимки на системата на жертвата и ги изпраща на нападателите.

И в двата случая на фишинг уебсайтове взаимодействието на потребителя с уебсайта, като щракване върху определени бутони или връзки, задейства процеса на заразяване. След като злонамереният софтуер бъде инсталиран, той работи безшумно във фонов режим, като събира данни и ги изпраща обратно на нападателите.

Този тип кибератака е особено опасна, защото може да остане незабелязана за продължителни периоди, което позволява на нападателите да откраднат значителни количества данни.

Заплашителни възможности на ImBetter Stealer

Зловреден софтуер за кражба на информация проверява кода на езиковия кодов идентификатор (LCID) на заразената система, за да определи езика и региона. Ако системата принадлежи към някой от регионите, свързани с руския език, включително казахски, татарски, башкирски, беларуски, якутски или руско-молдовски, злонамереният софтуер се прекратява сам. Това предполага, че нападателите вероятно са рускоговорящи.

Ако системата не принадлежи към един от идентифицираните региони, злонамереният софтуер прави екранна снимка на системата и я записва в папка C:\Users\Public с име на файл „Scr-urtydcfgads.png“. След това екранната снимка се изпраща до сървъра за командване и управление (C2, C&C).

След като се установи връзка чрез сокет към C&C сървъра, зловреден софтуер за кражба на информация събира различни подробности за заразената система. Това включва ID на хардуера, подробности за графичния процесор, размер на системната RAM памет, подробности за процесора, подробности за екрана и името на изпълнимия файл на зловреден софтуер.

Зловреден софтуер съхранява всеки системен детайл отделно като низ двойка ключ-стойност в паметта. След това този низ се кодира с помощта на формат Base64 и се предава на C&C сървъра през сокета, който е установен на по-ранен етап.

След като ImBetter приключи с извличането на системна информация, той проверява за браузърни приложения, инсталирани на заразеното устройство. Зловреден софтуер е способен да компрометира над 20 различни браузъра. Въз основа на браузърите, към които е насочен злонамереният софтуер, изглежда, че той се фокусира силно върху уеб браузъри, базирани на Chromium. Освен това ImBetter Stealer е в състояние да се насочи към близо 70 различни типа портфейли за криптовалута.

Това поведение демонстрира разширените възможности на зловреден софтуер за кражба на информация и високото ниво на сложност на атакуващите зад него. От решаващо значение е да останете бдителни, когато сърфирате в интернет, да поддържате софтуера актуален и да използвате софтуер против зловреден софтуер, за да намалите риска от инфекция.