ImBetter Stealer

ImBetter sta minacciando un software progettato per rubare informazioni sensibili dai sistemi informatici e dalle applicazioni installate. Questo malware è in grado di estrarre un'ampia gamma di dati personali e riservati, come password, credenziali di accesso, informazioni sulla carta di credito e altri dati sensibili che possono essere utilizzati per attività fraudolente. I dettagli sulla catena di attacco e le capacità della minaccia sono stati rilasciati in un rapporto dai ricercatori di sicurezza informatica di Cyble Research and Intelligence Labs.

Gli attori della minaccia imitano i legittimi siti Web di criptovaluta per diffondere il ladro di ImBetter

I criminali informatici utilizzano siti Web di phishing che imitano i popolari portafogli di criptovaluta e convertitori di file online per prendere di mira gli utenti Windows. Questi siti Web dannosi sono progettati per indurre gli utenti a scaricare malware che ruba informazioni, che possono compromettere i loro dati sensibili.

Il malware per il furto di informazioni ImBetter appena scoperto è in grado di rubare i dati riservati del browser delle vittime, comprese le credenziali di accesso salvate, i cookie, i profili utente e i portafogli di criptovaluta. Inoltre, il malware acquisisce schermate del sistema della vittima e le invia agli aggressori.

In entrambi i casi di siti Web di phishing, l'interazione dell'utente con il sito Web, ad esempio facendo clic su determinati pulsanti o collegamenti, attiva il processo di infezione. Una volta installato, il malware opera silenziosamente in background, raccogliendo dati e inviandoli agli aggressori.

Questo tipo di attacco informatico è particolarmente pericoloso perché può passare inosservato per lunghi periodi, consentendo agli aggressori di rubare quantità significative di dati.

Capacità minacciose di ImBetter Stealer

Il malware che ruba informazioni esamina il codice LCID (Language Code Identifier) del sistema infetto per determinare la lingua e la regione. Se il sistema appartiene a una delle regioni associate alla lingua russa, tra cui kazako, tataro, baschiro, bielorusso, yakut o russo-moldovia, il malware si autoblocca. Ciò suggerisce che gli aggressori siano probabilmente di lingua russa.

Se il sistema non appartiene a una delle regioni identificate, il malware acquisisce uno screenshot del sistema e lo salva nella cartella C:\Users\Public con il nome file 'Scr-urtydcfgads.png.' Lo screenshot viene quindi inviato al server Command and Control (C2, C&C).

Una volta stabilita una connessione socket al server C&C, il malware che ruba informazioni raccoglie vari dettagli sul sistema infetto. Ciò include l'ID hardware, i dettagli della GPU, le dimensioni della RAM di sistema, i dettagli della CPU, i dettagli dello schermo e il nome dell'eseguibile del malware.

Il malware memorizza ogni dettaglio del sistema separatamente come una stringa di coppia chiave-valore in memoria. Questa stringa viene quindi codificata utilizzando il formato Base64 e trasmessa al server C&C tramite il socket stabilito in una fase precedente.

Una volta che ImBetter ha terminato di estrarre le informazioni di sistema, verifica la presenza di applicazioni browser installate sul dispositivo infetto. Il malware è in grado di compromettere oltre 20 browser diversi. Sulla base dei browser presi di mira dal malware, sembra concentrarsi fortemente sui browser Web basati su Chromium. Inoltre, ImBetter Stealer è in grado di prendere di mira quasi 70 diversi tipi di portafogli di criptovaluta.

Questo comportamento dimostra le capacità avanzate del malware che ruba informazioni e l'elevato livello di sofisticazione degli aggressori dietro di esso. È fondamentale rimanere vigili durante la navigazione in Internet, mantenere aggiornato il software e utilizzare software anti-malware per ridurre il rischio di infezione.