ImBetter Stealer

ImBetter je ohrožující software, který je navržen tak, aby ukradl citlivé informace z počítačových systémů a nainstalovaných aplikací. Tento malware je schopen extrahovat širokou škálu osobních a důvěrných dat, jako jsou hesla, přihlašovací údaje, informace o kreditních kartách a další citlivá data, která lze použít k podvodným aktivitám. Podrobnosti o řetězci útoků a schopnostech hrozby byly zveřejněny ve zprávě výzkumníků kybernetické bezpečnosti z Cyble Research and Intelligence Labs.

Aktéři hrozeb napodobují legitimní webové stránky s kryptoměnami, aby rozšířili zloděje ImBetter

Kyberzločinci používají phishingové weby, které napodobují oblíbené kryptoměnové peněženky a online převodníky souborů, aby cílili na uživatele Windows. Tyto škodlivé webové stránky jsou navrženy tak, aby přiměly uživatele ke stažení malwaru kradoucího informace, který může ohrozit jejich citlivá data.

Nově objevený malware ImBetter pro krádeže informací je schopen ukrást důvěrná data prohlížeče obětí, včetně uložených přihlašovacích údajů, souborů cookie, uživatelských profilů a kryptoměnových peněženek. Malware navíc pořizuje snímky obrazovky systému oběti a posílá je útočníkům.

V obou případech phishingových webů spouští proces infekce interakce uživatele s webem, jako je kliknutí na určitá tlačítka nebo odkazy. Jakmile je malware nainstalován, funguje tiše na pozadí, shromažďuje data a posílá je zpět útočníkům.

Tento typ kybernetického útoku je obzvláště nebezpečný, protože může zůstat po dlouhou dobu nezjištěn, což útočníkům umožňuje ukrást značné množství dat.

Ohrožující schopnosti zloděje ImBetter

Malware kradoucí informace zkoumá kód Language Code Identifier (LCID) infikovaného systému, aby určil jazyk a region. Pokud systém patří do některého z regionů spojených s ruským jazykem, včetně kazaštiny, tatarštiny, baškirštiny, běloruštiny, jakutštiny nebo rusko-moldavska, malware se sám ukončí. To naznačuje, že útočníci jsou pravděpodobně rusky mluvící.

Pokud systém nepatří do žádné z identifikovaných oblastí, malware pořídí snímek obrazovky systému a uloží jej do složky C:\Users\Public s názvem 'Scr-urtydcfgads.png.' Snímek obrazovky je poté odeslán na server Command and Control (C2, C&C).

Jakmile je navázáno soketové připojení k serveru C&C, malware kradoucí informace shromažďuje různé podrobnosti o infikovaném systému. To zahrnuje ID hardwaru, podrobnosti o GPU, velikost systémové RAM, podrobnosti o CPU, podrobnosti o obrazovce a název spustitelného malwaru.

Malware ukládá každý detail systému samostatně jako řetězec páru klíč-hodnota v paměti. Tento řetězec je poté zakódován pomocí formátu Base64 a přenesen na server C&C přes soket, který byl vytvořen v dřívější fázi.

Jakmile ImBetter dokončí extrahování systémových informací, zkontroluje aplikace prohlížeče nainstalované na infikovaném zařízení. Malware je schopen kompromitovat více než 20 různých prohlížečů. Na základě prohlížečů, na které malware cílí, se zdá, že se silně zaměřuje na webové prohlížeče založené na Chromiu. Kromě toho je ImBetter Stealer schopen cílit na téměř 70 různých typů kryptoměnových peněženek.

Toto chování demonstruje pokročilé schopnosti malwaru kradoucího informace a vysokou úroveň sofistikovanosti útočníků, kteří za ním stojí. Při procházení internetu je zásadní zůstat ostražití, udržovat software aktuální a používat antimalwarový software, abyste snížili riziko infekce.