ImBetter Stealer

Το ImBetter είναι απειλητικό λογισμικό που έχει σχεδιαστεί για να κλέβει ευαίσθητες πληροφορίες από συστήματα υπολογιστών και εγκατεστημένες εφαρμογές. Αυτό το κακόβουλο λογισμικό είναι σε θέση να εξάγει ένα ευρύ φάσμα προσωπικών και εμπιστευτικών δεδομένων, όπως κωδικούς πρόσβασης, διαπιστευτήρια σύνδεσης, πληροφορίες πιστωτικών καρτών και άλλα ευαίσθητα δεδομένα που μπορούν να χρησιμοποιηθούν για δόλιες δραστηριότητες. Λεπτομέρειες σχετικά με την αλυσίδα επίθεσης και τις δυνατότητες της απειλής δημοσιεύθηκαν σε μια αναφορά από τους ερευνητές κυβερνοασφάλειας στα Cyble Research and Intelligence Labs.

Ηθοποιοί απειλών μιμούνται νόμιμες ιστοσελίδες κρυπτονομισμάτων για να διαδώσουν το ImBetter Stealer

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ιστότοπους phishing που μιμούνται δημοφιλή πορτοφόλια κρυπτονομισμάτων και διαδικτυακούς μετατροπείς αρχείων για να στοχεύσουν χρήστες των Windows. Αυτοί οι κακόβουλοι ιστότοποι έχουν σχεδιαστεί για να εξαπατούν τους χρήστες να κατεβάσουν κακόβουλο λογισμικό κλοπής πληροφοριών, το οποίο μπορεί να θέσει σε κίνδυνο τα ευαίσθητα δεδομένα τους.

Το πρόσφατα ανακαλυφθέν κακόβουλο λογισμικό κλοπής πληροφοριών ImBetter είναι ικανό να κλέβει εμπιστευτικά δεδομένα του προγράμματος περιήγησης των θυμάτων, συμπεριλαμβανομένων των αποθηκευμένων διαπιστευτηρίων σύνδεσης, των cookies, των προφίλ χρηστών και των πορτοφολιών κρυπτονομισμάτων. Επιπλέον, το κακόβουλο λογισμικό λαμβάνει στιγμιότυπα οθόνης του συστήματος του θύματος και τα στέλνει στους εισβολείς.

Και στις δύο περιπτώσεις ιστοτόπων ηλεκτρονικού ψαρέματος, η αλληλεπίδραση του χρήστη με τον ιστότοπο, όπως το κλικ σε ορισμένα κουμπιά ή συνδέσμους, ενεργοποιεί τη διαδικασία μόλυνσης. Μόλις εγκατασταθεί το κακόβουλο λογισμικό, λειτουργεί αθόρυβα στο παρασκήνιο, συλλέγοντας δεδομένα και στέλνοντάς τα πίσω στους εισβολείς.

Αυτός ο τύπος κυβερνοεπίθεσης είναι ιδιαίτερα επικίνδυνος επειδή μπορεί να παραμείνει απαρατήρητος για παρατεταμένες περιόδους, επιτρέποντας στους εισβολείς να κλέψουν σημαντικές ποσότητες δεδομένων.

Απειλητικές δυνατότητες του ImBetter Stealer

Το κακόβουλο λογισμικό κλοπής πληροφοριών εξετάζει τον κωδικό αναγνωριστικού κώδικα γλώσσας (LCID) του μολυσμένου συστήματος για να προσδιορίσει τη γλώσσα και την περιοχή. Εάν το σύστημα ανήκει σε οποιαδήποτε από τις περιοχές που σχετίζονται με τη ρωσική γλώσσα, συμπεριλαμβανομένων των Καζακικών, Ταταρικών, Μπασκίρ, Λευκορωσικών, Γιακούτ ή Ρωσο-Μολδαβίας, το κακόβουλο λογισμικό τερματίζεται από μόνο του. Αυτό υποδηλώνει ότι οι επιτιθέμενοι είναι πιθανόν Ρωσόφωνοι.

Εάν το σύστημα δεν ανήκει σε μία από τις προσδιοριζόμενες περιοχές, το κακόβουλο λογισμικό παίρνει ένα στιγμιότυπο οθόνης του συστήματος και το αποθηκεύει στο φάκελο C:\Users\Public με το όνομα αρχείου "Scr-urtydcfgads.png". Στη συνέχεια, το στιγμιότυπο οθόνης αποστέλλεται στον διακομιστή Command and Control (C2, C&C).

Μόλις δημιουργηθεί μια σύνδεση υποδοχής με τον διακομιστή C&C, το κακόβουλο λογισμικό που κλέβει πληροφορίες συγκεντρώνει διάφορες λεπτομέρειες σχετικά με το μολυσμένο σύστημα. Αυτό περιλαμβάνει το αναγνωριστικό υλικού, λεπτομέρειες GPU, μέγεθος RAM συστήματος, λεπτομέρειες CPU, λεπτομέρειες οθόνης και το όνομα του εκτελέσιμου κακόβουλου λογισμικού.

Το κακόβουλο λογισμικό αποθηκεύει κάθε λεπτομέρεια συστήματος ξεχωριστά ως συμβολοσειρά ζεύγους κλειδιού-τιμής στη μνήμη. Στη συνέχεια, αυτή η συμβολοσειρά κωδικοποιείται χρησιμοποιώντας τη μορφή Base64 και μεταδίδεται στον διακομιστή C&C μέσω της υποδοχής που δημιουργήθηκε σε παλαιότερο στάδιο.

Μόλις το ImBetter ολοκληρώσει την εξαγωγή πληροφοριών συστήματος, ελέγχει για εφαρμογές προγράμματος περιήγησης που είναι εγκατεστημένες στη μολυσμένη συσκευή. Το κακόβουλο λογισμικό είναι ικανό να θέσει σε κίνδυνο πάνω από 20 διαφορετικά προγράμματα περιήγησης. Με βάση τα προγράμματα περιήγησης που στοχεύουν το κακόβουλο λογισμικό, φαίνεται να επικεντρώνεται σε μεγάλο βαθμό σε προγράμματα περιήγησης ιστού που βασίζονται στο Chromium. Επιπλέον, το ImBetter Stealer είναι ικανό να στοχεύει σχεδόν 70 διαφορετικούς τύπους πορτοφολιών κρυπτονομισμάτων.

Αυτή η συμπεριφορά καταδεικνύει τις προηγμένες δυνατότητες του κακόβουλου λογισμικού κλοπής πληροφοριών και το υψηλό επίπεδο πολυπλοκότητας των επιτιθέμενων που βρίσκονται πίσω από αυτό. Είναι σημαντικό να παραμείνετε σε επαγρύπνηση κατά την περιήγηση στο Διαδίκτυο, να διατηρείτε το λογισμικό ενημερωμένο και να χρησιμοποιείτε λογισμικό κατά του κακόβουλου λογισμικού για να μειώσετε τον κίνδυνο μόλυνσης.