ImBetter Stealer

ImBetter היא תוכנה מאיימת שנועדה לגנוב מידע רגיש ממערכות מחשב ואפליקציות מותקנות. תוכנה זדונית זו מסוגלת לחלץ מגוון רחב של נתונים אישיים וסודיים, כגון סיסמאות, אישורי כניסה, פרטי כרטיס אשראי ונתונים רגישים אחרים שניתן להשתמש בהם לפעולות הונאה. פרטים על שרשרת התקיפה ויכולות האיום פורסמו בדו"ח של חוקרי אבטחת הסייבר במעבדות Cyble Research and Intelligence.

שחקני איומים מחקים אתרי אינטרנט לגיטימיים של מטבעות קריפטו כדי להפיץ את הגנב של ImBetter

פושעי סייבר משתמשים באתרי דיוג המחקים ארנקים פופולריים של מטבעות קריפטוגרפיים וממירי קבצים מקוונים כדי למקד למשתמשי Windows. אתרים זדוניים אלו נועדו להערים על משתמשים להוריד תוכנות זדוניות גונבות מידע, שעלולות לסכן את הנתונים הרגישים שלהם.

התוכנה הזדונית החדשה של ImBetter גניבת מידע מסוגלת לגנוב נתוני דפדפן חסויים של קורבנות, כולל אישורי כניסה שמורים, קובצי Cookie, פרופילי משתמש וארנקי מטבעות קריפטוגרפיים. בנוסף, התוכנה הזדונית מצלמת צילומי מסך של המערכת של הקורבן ושולחת אותם לתוקפים.

בשני המקרים של אתרי פישינג, האינטראקציה של המשתמש עם האתר, כגון לחיצה על כפתורים או קישורים מסוימים, מפעילה את תהליך ההדבקה. לאחר התקנת התוכנה הזדונית, היא פועלת בשקט ברקע, אוספת נתונים ושולחת אותם בחזרה לתוקפים.

התקפת סייבר מסוג זה היא מסוכנת במיוחד מכיוון שהיא עלולה להישאר ללא זיהוי לתקופות ממושכות, מה שמאפשר לתוקפים לגנוב כמויות משמעותיות של נתונים.

יכולות מאיימות של ImBetter Stealer

התוכנה הזדונית גניבת המידע בוחנת את קוד ה- Language Code Identifier (LCID) של המערכת הנגועה כדי לקבוע את השפה והאזור. אם המערכת שייכת לאחד מהאזורים המשויכים לשפה הרוסית, כולל קזחית, טטארית, בשקירית, בלארוסית, יאקוט או רוסית-מולדובה, התוכנה הזדונית מפסיקה את עצמה. זה מצביע על כך שהתוקפים הם ככל הנראה דוברי רוסית.

אם המערכת אינה שייכת לאחד מהאזורים שזוהו, התוכנה הזדונית מצלמת צילום מסך של המערכת ושומרת אותה בתיקייה C:\Users\Public עם שם הקובץ 'Scr-urtydcfgads.png'. צילום המסך נשלח לאחר מכן לשרת הפקודה והבקרה (C2, C&C).

ברגע שנוצר חיבור שקע לשרת C&C, התוכנה הזדונית גונבת המידע אוספת פרטים שונים על המערכת הנגועה. זה כולל את מזהה החומרה, פרטי GPU, גודל זיכרון RAM של המערכת, פרטי מעבד, פרטי מסך ושם קובץ ההפעלה של תוכנת זדונית.

התוכנה הזדונית מאחסנת כל פרט מערכת בנפרד כמחרוזת זוג מפתח-ערך בזיכרון. מחרוזת זו מקודדת לאחר מכן באמצעות פורמט Base64 ומשודרת לשרת C&C דרך השקע שהוקם בשלב מוקדם יותר.

לאחר שה-ImBetter סיים לחלץ מידע מערכת, הוא בודק אם יש יישומי דפדפן שהותקנו במכשיר הנגוע. התוכנה הזדונית מסוגלת לסכן למעלה מ-20 דפדפנים שונים. בהתבסס על הדפדפנים הממוקדים על ידי התוכנה הזדונית, נראה שהוא מתמקד מאוד בדפדפני אינטרנט מבוססי Chromium. בנוסף, ה-ImBetter Stealer מסוגל לכוון לכמעט 70 סוגים שונים של ארנקי מטבעות קריפטוגרפיים.

התנהגות זו מדגימה את היכולות המתקדמות של התוכנה הזדונית גניבת המידע ואת רמת התחכום הגבוהה של התוקפים שמאחוריה. חשוב לשמור על ערנות בעת גלישה באינטרנט, לעדכן את התוכנה ולהשתמש בתוכנות נגד תוכנות זדוניות כדי להפחית את הסיכון לזיהום.