ImBetter Stealer
ImBetter یک نرم افزار تهدید کننده است که برای سرقت اطلاعات حساس از سیستم های کامپیوتری و برنامه های کاربردی نصب شده طراحی شده است. این بدافزار قادر است طیف وسیعی از دادههای شخصی و محرمانه مانند رمز عبور، اطلاعات کاربری ورود به سیستم، اطلاعات کارت اعتباری و سایر دادههای حساس را استخراج کند که میتوانند برای فعالیتهای کلاهبرداری استفاده شوند. جزئیات مربوط به زنجیره حمله و قابلیتهای تهدید در گزارشی توسط محققان امنیت سایبری در آزمایشگاههای تحقیقاتی و اطلاعاتی Cyble منتشر شد.
بازیگران تهدید از وبسایتهای ارزهای دیجیتال قانونی تقلید میکنند تا دزد بهتر را گسترش دهند.
مجرمان سایبری از وبسایتهای فیشینگ استفاده میکنند که کیف پولهای رایج ارزهای دیجیتال و مبدلهای فایل آنلاین را برای هدف قرار دادن کاربران ویندوز تقلید میکنند. این وب سایت های مخرب برای فریب کاربران برای دانلود بدافزار سرقت اطلاعات طراحی شده اند که می تواند داده های حساس آنها را به خطر بیندازد.
بدافزار تازه کشف شده سرقت اطلاعات ImBetter قادر به سرقت اطلاعات محرمانه مرورگر قربانیان از جمله اعتبارنامه های ذخیره شده ورود، کوکی ها، نمایه های کاربر و کیف پول های رمزنگاری شده است. علاوه بر این، بدافزار از سیستم قربانی اسکرین شات می گیرد و برای مهاجمان ارسال می کند.
در هر دو مورد وبسایتهای فیشینگ، تعامل کاربر با وبسایت، مانند کلیک کردن بر روی دکمهها یا پیوندهای خاص، فرآیند عفونت را آغاز میکند. پس از نصب بدافزار، در پسزمینه بیصدا عمل میکند و دادهها را جمعآوری کرده و برای مهاجمان ارسال میکند.
این نوع حمله سایبری به ویژه خطرناک است زیرا می تواند برای مدت طولانی شناسایی نشود و به مهاجمان اجازه دهد مقادیر قابل توجهی از داده ها را سرقت کنند.
قابلیت های تهدید آمیز دزد ImBetter
بدافزار سرقت اطلاعات، کد شناسه کد زبان (LCID) سیستم آلوده را برای تعیین زبان و منطقه بررسی می کند. اگر سیستم متعلق به هر یک از مناطق مرتبط با زبان روسی باشد، از جمله قزاقی، تاتاری، باشقیر، بلاروسی، یاکوت یا روسی-مولداوی، بدافزار خود به خود خاتمه می یابد. این نشان می دهد که مهاجمان احتمالاً روسی زبان هستند.
اگر سیستم به یکی از مناطق شناسایی شده تعلق نداشته باشد، بدافزار یک اسکرین شات از سیستم می گیرد و آن را در پوشه C:\Users\Public با نام فایل "Scr-urtydcfgads.png" ذخیره می کند. سپس اسکرین شات به سرور Command and Control (C2, C&C) ارسال می شود.
هنگامی که یک اتصال سوکت به سرور C&C برقرار می شود، بدافزار سرقت اطلاعات جزئیات مختلفی را در مورد سیستم آلوده جمع آوری می کند. این شامل شناسه سختافزار، جزئیات GPU، اندازه RAM سیستم، جزئیات CPU، جزئیات صفحه، و نام بدافزار قابل اجرایی است.
بدافزار هر یک از جزئیات سیستم را به صورت جداگانه به عنوان یک رشته جفت کلید-مقدار در حافظه ذخیره می کند. سپس این رشته با استفاده از فرمت Base64 کدگذاری می شود و از طریق سوکتی که در مرحله قبلی ایجاد شده بود به سرور C&C منتقل می شود.
هنگامی که ImBetter استخراج اطلاعات سیستم را به پایان رساند، برنامه های مرورگر نصب شده در دستگاه آلوده را بررسی می کند. این بدافزار قادر است بیش از 20 مرورگر مختلف را در معرض خطر قرار دهد. بر اساس مرورگرهایی که توسط این بدافزار مورد هدف قرار گرفتهاند، به نظر میرسد که تمرکز زیادی روی مرورگرهای وب مبتنی بر Chromium دارد. علاوه بر این، ImBetter Stealer قادر است نزدیک به 70 نوع مختلف کیف پول ارزهای دیجیتال را هدف قرار دهد.
این رفتار نشان دهنده قابلیت های پیشرفته بدافزار سرقت اطلاعات و سطح بالای پیچیدگی مهاجمان پشت آن است. هنگام مرور اینترنت، به روز نگه داشتن نرم افزار و استفاده از نرم افزارهای ضد بدافزار برای کاهش خطر ابتلا، بسیار مهم است.