ImBetter Stealer

ImBetter je prijeteći softver koji je dizajniran za krađu osjetljivih informacija iz računalnih sustava i instaliranih aplikacija. Ovaj zlonamjerni softver može izvući širok raspon osobnih i povjerljivih podataka, kao što su lozinke, vjerodajnice za prijavu, podaci o kreditnoj kartici i drugi osjetljivi podaci koji se mogu koristiti za lažne aktivnosti. Pojedinosti o lancu napada i mogućnostima prijetnje objavljene su u izvješću istraživača kibernetičke sigurnosti u Cyble Research and Intelligence Labs.

Akteri prijetnji oponašaju legitimne web stranice za kriptovalute kako bi širili ImBetter Stealer

Kibernetički kriminalci koriste web stranice za krađu identiteta koje oponašaju popularne novčanike za kriptovalute i mrežne pretvarače datoteka kako bi ciljali korisnike Windowsa. Ova zlonamjerna web-mjesta osmišljena su kako bi prevarila korisnike da preuzmu zlonamjerni softver za krađu informacija, koji može ugroziti njihove osjetljive podatke.

Novootkriveni malware za krađu informacija ImBetter sposoban je ukrasti povjerljive podatke preglednika žrtava, uključujući spremljene vjerodajnice za prijavu, kolačiće, korisničke profile i novčanike kriptovaluta. Uz to, zlonamjerni softver snima snimke zaslona žrtvinog sustava i šalje ih napadačima.

U oba slučaja web-mjesta za krađu identiteta, interakcija korisnika s web-mjestom, poput klikanja na određene gumbe ili poveznice, pokreće proces infekcije. Nakon što se zlonamjerni softver instalira, radi tiho u pozadini, prikuplja podatke i šalje ih natrag napadačima.

Ova vrsta kibernetičkog napada je posebno opasna jer može ostati neotkriven dulje vrijeme, omogućujući napadačima da ukradu značajne količine podataka.

Prijeteće mogućnosti ImBetter Stealera

Zlonamjerni softver za krađu informacija ispituje kod identifikatora jezičnog koda (LCID) zaraženog sustava kako bi odredio jezik i regiju. Ako sustav pripada bilo kojoj od regija povezanih s ruskim jezikom, uključujući kazahstanski, tatarski, baškirski, bjeloruski, jakutski ili rusko-moldavski, zlonamjerni se softver sam prekida. To sugerira da su napadači vjerojatno govornici ruskog jezika.

Ako sustav ne pripada jednoj od identificiranih regija, zlonamjerni softver snima snimku zaslona sustava i sprema je u mapu C:\Users\Public s nazivom datoteke 'Scr-urtydcfgads.png.' Snimka zaslona se zatim šalje poslužitelju za upravljanje i kontrolu (C2, C&C).

Nakon što se uspostavi socket veza s C&C poslužiteljem, zlonamjerni softver koji krade informacije prikuplja razne detalje o zaraženom sustavu. To uključuje ID hardvera, pojedinosti o GPU-u, veličinu RAM-a sustava, pojedinosti o CPU-u, pojedinosti o zaslonu i naziv izvršne datoteke zlonamjernog softvera.

Zlonamjerni softver pohranjuje svaki detalj sustava odvojeno kao niz para ključ-vrijednost u memoriju. Ovaj niz se zatim kodira korištenjem Base64 formata i prenosi na C&C poslužitelj preko utičnice koja je uspostavljena u ranijoj fazi.

Nakon što ImBetter završi s izdvajanjem informacija o sustavu, provjerava postoje li aplikacije preglednika instalirane na zaraženom uređaju. Zlonamjerni softver može ugroziti preko 20 različitih preglednika. Na temelju preglednika na koje zlonamjerni softver cilja, čini se da se uvelike usredotočuje na web preglednike temeljene na Chromiumu. Dodatno, ImBetter Stealer može ciljati gotovo 70 različitih vrsta novčanika kriptovaluta.

Ovo ponašanje pokazuje napredne mogućnosti zlonamjernog softvera za krađu informacija i visoku razinu sofisticiranosti napadača koji stoje iza njega. Ključno je ostati na oprezu prilikom pregledavanja interneta, ažurirati softver i koristiti softver protiv zlonamjernog softvera kako biste smanjili rizik od infekcije.