ImBetter Stealer

Az ImBetter olyan fenyegető szoftver, amelyet arra terveztek, hogy bizalmas információkat lopjon el számítógépes rendszerekből és telepített alkalmazásokból. Ez a rosszindulatú program a személyes és bizalmas adatok széles körének kinyerésére képes, mint például jelszavak, bejelentkezési adatok, hitelkártya-információk és más érzékeny adatok, amelyek csalárd tevékenységekhez használhatók fel. A támadási láncról és a fenyegetés képességeiről a Cyble Research and Intelligence Labs kiberbiztonsági kutatóinak jelentésében számoltak be.

A fenyegető szereplők legitim kriptovaluta webhelyeket utánoznak az ImBetter Stealer terjesztése érdekében

A kiberbűnözők olyan adathalász webhelyeket használnak, amelyek a népszerű kriptovaluta pénztárcákat és online fájlkonvertálókat utánozzák a Windows-felhasználók megcélzására. Ezeket a rosszindulatú webhelyeket arra tervezték, hogy rávegyék a felhasználókat információlopó rosszindulatú programok letöltésére, amelyek veszélyeztethetik érzékeny adataikat.

Az újonnan felfedezett ImBetter információlopó malware képes ellopni az áldozatok bizalmas böngészőadatait, beleértve a mentett bejelentkezési adatokat, cookie-kat, felhasználói profilokat és kriptovaluta pénztárcákat. Ezenkívül a rosszindulatú program képernyőképeket készít az áldozat rendszeréről, és elküldi azokat a támadóknak.

Az adathalász webhelyek esetében mindkét esetben a felhasználónak a webhellyel való interakciója, például bizonyos gombokra vagy hivatkozásokra való kattintás váltja ki a fertőzési folyamatot. A kártevő telepítése után csendben működik a háttérben, adatokat gyűjt, és visszaküldi a támadóknak.

Az ilyen típusú kibertámadások különösen veszélyesek, mert hosszabb ideig észrevétlenül maradhatnak, és lehetővé teszik a támadók számára, hogy jelentős mennyiségű adatot lopjanak el.

Az ImBetter Stealer fenyegető képességei

Az információlopó kártevő a fertőzött rendszer Language Code Identifier (LCID) kódját vizsgálja, hogy meghatározza a nyelvet és a régiót. Ha a rendszer az orosz nyelvhez kapcsolódó régiók valamelyikéhez tartozik, beleértve a kazah, a tatár, a baskír, a fehérorosz, a jakut vagy az orosz-moldovai nyelvet, a kártevő leállítja magát. Ez arra utal, hogy a támadók valószínűleg oroszul beszélnek.

Ha a rendszer nem tartozik az azonosított régiók egyikébe, a rosszindulatú program képernyőképet készít a rendszerről, és elmenti a C:\Users\Public mappába „Scr-urtydcfgads.png” fájlnévvel. A képernyőkép ezután elküldésre kerül a Command and Control (C2, C&C) szerverre.

Amint a socket kapcsolat létrejött a C&C szerverrel, az információlopó kártevő különféle részleteket gyűjt össze a fertőzött rendszerről. Ez magában foglalja a hardverazonosítót, a GPU részleteit, a rendszer RAM méretét, a CPU adatait, a képernyő részleteit és a rosszindulatú program futtatható fájljának nevét.

A rosszindulatú program minden rendszerrészletet külön-külön, kulcs-érték pár karakterláncként tárol a memóriában. Ezt a karakterláncot ezután Base64 formátumban kódolják, és a korábbi szakaszban létrehozott socketen keresztül továbbítják a C&C szerverhez.

Miután az ImBetter befejezte a rendszerinformációk kinyerését, ellenőrzi a fertőzött eszközre telepített böngészőalkalmazásokat. A kártevő több mint 20 különböző böngészőt képes feltörni. A rosszindulatú program által megcélzott böngészők alapján úgy tűnik, hogy nagy hangsúlyt fektet a Chromium-alapú böngészőkre. Ezenkívül az ImBetter Stealer közel 70 különböző típusú kriptovaluta pénztárcát képes megcélozni.

Ez a viselkedés az információlopó rosszindulatú programok fejlett képességeit és a mögötte álló támadók magas szintű kifinomultságát mutatja. Kulcsfontosságú, hogy éber legyen az internet böngészése közben, naprakész legyen a szoftver, és a fertőzés kockázatának csökkentése érdekében használjon kártevőirtó szoftvereket.