Threat Database Stealers ImBetter Stealer

ImBetter Stealer

ImBetter on uhkaava ohjelmisto, joka on suunniteltu varastamaan arkaluonteisia tietoja tietokonejärjestelmistä ja asennetuista sovelluksista. Tämä haittaohjelma pystyy poimimaan monenlaisia henkilökohtaisia ja luottamuksellisia tietoja, kuten salasanoja, kirjautumistietoja, luottokorttitietoja ja muita arkaluonteisia tietoja, joita voidaan käyttää vilpillisiin toimiin. Yksityiskohdat hyökkäysketjusta ja uhan ominaisuuksista julkaistiin Cyble Researchin ja Intelligence Labsin kyberturvallisuustutkijoiden raportissa.

Uhkatoimijat jäljittelevät laillisia kryptovaluuttasivustoja levittääkseen ImBetter Stealeria

Kyberrikolliset käyttävät phishing-sivustoja, jotka jäljittelevät suosittuja kryptovaluuttalompakkoja ja online-tiedostomuuntajia Windows-käyttäjiin. Nämä haitalliset verkkosivustot on suunniteltu huijaamaan käyttäjiä lataamaan tietoja varastavia haittaohjelmia, jotka voivat vaarantaa heidän arkaluontoiset tiedot.

Äskettäin löydetty ImBetter tietoja varastava haittaohjelma pystyy varastamaan uhrien luottamukselliset selaintiedot, mukaan lukien tallennetut kirjautumistiedot, evästeet, käyttäjäprofiilit ja kryptovaluuttalompakot. Lisäksi haittaohjelma ottaa kuvakaappauksia uhrin järjestelmästä ja lähettää ne hyökkääjille.

Molemmissa tietojenkalastelusivustoissa käyttäjän vuorovaikutus verkkosivuston kanssa, kuten tiettyjen painikkeiden tai linkkien napsauttaminen, käynnistää tartuntaprosessin. Kun haittaohjelma on asennettu, se toimii äänettömästi taustalla, kerää tietoja ja lähettää ne takaisin hyökkääjille.

Tämäntyyppinen kyberhyökkäys on erityisen vaarallinen, koska se voi jäädä havaitsematta pitkiä aikoja, jolloin hyökkääjät voivat varastaa merkittäviä määriä tietoa.

ImBetter Stealerin uhkaavat ominaisuudet

Tietoa varastava haittaohjelma tutkii tartunnan saaneen järjestelmän Language Code Identifier (LCID) -koodin määrittääkseen kielen ja alueen. Jos järjestelmä kuuluu jollekin venäjän kieleen liittyvälle alueelle, mukaan lukien kazakstanin, tatari, baškiiri, valkovenäläinen, jakut tai venäjä-moldova, haittaohjelma lopettaa itsensä. Tämä viittaa siihen, että hyökkääjät ovat todennäköisesti venäjänkielisiä.

Jos järjestelmä ei kuulu yhdelle tunnistetuista alueista, haittaohjelma ottaa järjestelmästä kuvakaappauksen ja tallentaa sen C:\Users\Public-kansioon tiedostonimellä Scr-urtydcfgads.png. Kuvakaappaus lähetetään sitten Command and Control (C2, C&C) -palvelimelle.

Kun socket-yhteys on muodostettu C&C-palvelimeen, tietoja varastava haittaohjelma kerää erilaisia tietoja tartunnan saaneesta järjestelmästä. Tämä sisältää laitteistotunnuksen, GPU-tiedot, järjestelmän RAM-muistin koon, suorittimen tiedot, näytön tiedot ja haittaohjelman suoritettavan tiedoston nimen.

Haittaohjelma tallentaa jokaisen järjestelmän yksityiskohdan erikseen avain-arvo-parimerkkijonona muistiin. Tämä merkkijono koodataan sitten käyttäen Base64-muotoa ja lähetetään C&C-palvelimelle aikaisemmassa vaiheessa perustetun socketin kautta.

Kun ImBetter on purkanut järjestelmätiedot, se tarkistaa, onko tartunnan saaneelle laitteelle asennettuja selainsovelluksia. Haittaohjelma pystyy vaarantamaan yli 20 eri selainta. Haittaohjelman kohteena olevien selainten perusteella se näyttää keskittyvän voimakkaasti Chromium-pohjaisiin verkkoselaimiin. Lisäksi ImBetter Stealer pystyy kohdistamaan lähes 70 erityyppiseen kryptovaluuttalompakkoon.

Tämä käyttäytyminen osoittaa tietoja varastavan haittaohjelman edistyneitä ominaisuuksia ja sen takana olevien hyökkääjien korkeaa kehittyneisyyttä. On erittäin tärkeää pysyä valppaana Internetiä selatessa, pitää ohjelmistot ajan tasalla ja käyttää haittaohjelmien torjuntaohjelmistoja tartuntariskin vähentämiseksi.

Trendaavat

Eniten katsottu

Ladataan...