ImBetter Stealer

ImBetter on ähvardav tarkvara, mis on loodud tundliku teabe varastamiseks arvutisüsteemidest ja installitud rakendustest. See pahavara on võimeline välja võtma laia valikut isiklikke ja konfidentsiaalseid andmeid, nagu paroolid, sisselogimismandaadid, krediitkaarditeave ja muud tundlikud andmed, mida saab kasutada pettusteks. Üksikasjad ründeahela ja ohu võimaluste kohta avaldati Cyble Researchi ja Intelligence Labsi küberjulgeolekuteadlaste aruandes.

Ohunäitlejad jäljendavad ImBetter Stealeri levitamiseks seaduslikke krüptovaluutade veebisaite

Küberkurjategijad kasutavad Windowsi kasutajate sihtimiseks andmepüügiveebisaite, mis jäljendavad populaarseid krüptovaluuta rahakotte ja veebipõhiseid failimuundureid. Need pahatahtlikud veebisaidid on loodud selleks, et meelitada kasutajaid alla laadima teavet varastavat pahavara, mis võib kahjustada nende tundlikke andmeid.

Äsja avastatud ImBetteri infovarastav pahavara on võimeline varastama ohvrite konfidentsiaalseid brauseriandmeid, sealhulgas salvestatud sisselogimismandaate, küpsiseid, kasutajaprofiile ja krüptovaluuta rahakotte. Lisaks teeb pahavara ohvri süsteemist ekraanipilte ja saadab need ründajatele.

Mõlemal andmepüügiveebisaitide puhul käivitab nakatumisprotsessi kasutaja suhtlus veebisaidiga, näiteks teatud nuppudel või linkidel klõpsamine. Kui pahavara on installitud, töötab see vaikselt taustal, kogub andmeid ja saadab need tagasi ründajatele.

Seda tüüpi küberrünnak on eriti ohtlik, kuna see võib jääda pikka aega avastamata, võimaldades ründajatel varastada märkimisväärses koguses andmeid.

ImBetter Stealeri ähvardavad võimalused

Teabevarastav pahavara uurib keele ja piirkonna määramiseks nakatunud süsteemi keelekoodi identifikaatori (LCID) koodi. Kui süsteem kuulub mõnda vene keelega seotud piirkonda, sealhulgas kasahhi, tatari, baškiiri, valgevene, jakuudi või vene-moldova keelde, lõpetab pahavara end ise. See viitab sellele, et ründajad on tõenäoliselt vene keelt kõnelevad.

Kui süsteem ei kuulu ühte tuvastatud piirkondadest, teeb pahavara süsteemist ekraanipildi ja salvestab selle kausta C:\Users\Public failinimega Scr-urtydcfgads.png. Seejärel saadetakse ekraanipilt Command and Control (C2, C&C) serverisse.

Kui pistikupesa ühendus on loodud C&C serveriga, kogub teavet varastav pahavara nakatunud süsteemi kohta erinevaid üksikasju. See hõlmab riistvara ID-d, GPU üksikasju, süsteemi RAM-i suurust, protsessori üksikasju, ekraani üksikasju ja pahavara käivitatava faili nime.

Pahavara salvestab iga süsteemi üksikasja eraldi mällu võtme-väärtuse paari stringina. See string kodeeritakse seejärel Base64-vormingus ja edastatakse C&C serverisse varasemas etapis loodud pesa kaudu.

Kui ImBetter on süsteemiteabe ekstraktimise lõpetanud, kontrollib see nakatunud seadmesse installitud brauserirakendusi. Pahavara on võimeline ohustama enam kui 20 erinevat brauserit. Pahavara sihitud brauserite põhjal näib, et see keskendub suuresti Chromiumipõhistele veebibrauseritele. Lisaks on ImBetter Stealer võimeline sihtima peaaegu 70 erinevat tüüpi krüptovaluuta rahakotti.

Selline käitumine näitab teavet varastava pahavara täiustatud võimeid ja selle taga olevate ründajate kõrget keerukust. Nakatumise ohu vähendamiseks on ülioluline olla Interneti sirvimisel valvsus, hoida tarkvara ajakohasena ja kasutada pahavaravastast tarkvara.