ImBetter Stealer

ImBetter er truende software, der er designet til at stjæle følsomme oplysninger fra computersystemer og installerede applikationer. Denne malware er i stand til at udtrække en lang række personlige og fortrolige data, såsom adgangskoder, login-legitimationsoplysninger, kreditkortoplysninger og andre følsomme data, der kan bruges til svigagtige aktiviteter. Detaljer om angrebskæden og truslens muligheder blev offentliggjort i en rapport fra cybersikkerhedsforskerne ved Cyble Research and Intelligence Labs.

Trusselskuespillere efterligner legitime kryptovaluta-websteder for at sprede ImBetter Stealer

Cyberkriminelle bruger phishing-websteder, der efterligner populære cryptocurrency-punge og online-filkonvertere for at målrette mod Windows-brugere. Disse ondsindede websteder er designet til at narre brugere til at downloade informationstjælende malware, som kan kompromittere deres følsomme data.

Den nyopdagede ImBetter informationstjælende malware er i stand til at stjæle ofres fortrolige browserdata, herunder gemte loginoplysninger, cookies, brugerprofiler og cryptocurrency-punge. Derudover tager malwaren skærmbilleder af ofrets system og sender dem til angriberne.

I begge tilfælde af phishing-websteder udløser brugerens interaktion med webstedet, såsom at klikke på bestemte knapper eller links, infektionsprocessen. Når malwaren er installeret, fungerer den lydløst i baggrunden, indsamler data og sender dem tilbage til angriberne.

Denne type cyberangreb er særligt farlig, fordi den kan forblive uopdaget i længere perioder, hvilket giver angriberne mulighed for at stjæle betydelige mængder data.

Truende egenskaber af ImBetter Stealer

Den informationstjælende malware undersøger Language Code Identifier (LCID)-koden for det inficerede system for at bestemme sproget og regionen. Hvis systemet tilhører en af de regioner, der er forbundet med det russiske sprog, inklusive kasakhisk, tatarisk, bashkirisk, hviderussisk, yakut eller russisk-moldova, ophører malwaren af sig selv. Dette tyder på, at angriberne sandsynligvis er russisktalende.

Hvis systemet ikke tilhører en af de identificerede regioner, tager malwaren et skærmbillede af systemet og gemmer det i mappen C:\Users\Public med filnavnet 'Scr-urtydcfgads.png.' Skærmbilledet sendes derefter til Command and Control-serveren (C2, C&C).

Når en socket-forbindelse er etableret til C&C-serveren, samler den informationstjælende malware forskellige detaljer om det inficerede system. Dette inkluderer hardware-id, GPU-detaljer, system-RAM-størrelse, CPU-detaljer, skærmdetaljer og navnet på den eksekverbare malware.

Malwaren gemmer hver systemdetalje separat som en nøgleværdi-parstreng i hukommelsen. Denne streng kodes derefter ved hjælp af Base64-formatet og transmitteres til C&C-serveren over den socket, der blev etableret på et tidligere tidspunkt.

Når ImBetter er færdig med at udtrække systemoplysninger, tjekker den for browserapplikationer installeret på den inficerede enhed. Malwaren er i stand til at kompromittere over 20 forskellige browsere. Baseret på de browsere, der er målrettet mod malware, ser det ud til, at den fokuserer stærkt på Chromium-baserede webbrowsere. Derudover er ImBetter Stealer i stand til at målrette mod næsten 70 forskellige typer cryptocurrency-punge.

Denne adfærd demonstrerer de avancerede muligheder for den informationstjælende malware og det høje niveau af sofistikering af angriberne bag den. Det er afgørende at være på vagt, når du surfer på internettet, holde software opdateret og bruge anti-malware-software for at reducere risikoen for infektion.