ImBetter 스틸러

ImBetter는 컴퓨터 시스템과 설치된 응용 프로그램에서 중요한 정보를 훔치도록 설계된 위협적인 소프트웨어입니다. 이 맬웨어는 암호, 로그인 자격 증명, 신용 카드 정보 및 사기 활동에 사용할 수 있는 기타 민감한 데이터와 같은 광범위한 개인 및 기밀 데이터를 추출할 수 있습니다. 위협의 공격 체인 및 기능에 대한 세부 정보는 Cyble Research and Intelligence Labs의 사이버 보안 연구원이 작성한 보고서에서 공개되었습니다.

위협 행위자는 ImBetter Stealer를 퍼뜨리기 위해 합법적인 암호 화폐 웹사이트를 모방합니다.

사이버 범죄자들은 인기 있는 암호화폐 지갑과 온라인 파일 변환기를 모방한 피싱 웹사이트를 사용하여 Windows 사용자를 표적으로 삼고 있습니다. 이러한 악성 웹사이트는 사용자를 속여 정보를 도용하는 멀웨어를 다운로드하도록 설계되어 중요한 데이터를 손상시킬 수 있습니다.

새로 발견된 ImBetter 정보 탈취 멀웨어는 저장된 로그인 자격 증명, 쿠키, 사용자 프로필 및 암호화폐 지갑을 포함하여 피해자의 기밀 브라우저 데이터를 훔칠 수 있습니다. 또한 이 멀웨어는 피해자 시스템의 스크린샷을 찍어 공격자에게 보냅니다.

피싱 웹사이트의 두 경우 모두 특정 버튼이나 링크를 클릭하는 것과 같은 웹사이트와 사용자의 상호 작용이 감염 프로세스를 트리거합니다. 맬웨어가 설치되면 백그라운드에서 자동으로 작동하여 데이터를 수집하고 공격자에게 다시 보냅니다.

이러한 유형의 사이버 공격은 오랫동안 탐지되지 않아 공격자가 상당한 양의 데이터를 훔칠 수 있기 때문에 특히 위험합니다.

ImBetter Stealer의 위협적인 기능

정보 탈취 악성코드는 감염된 시스템의 LCID(Language Code Identifier) 코드를 검사하여 언어와 지역을 확인합니다. 시스템이 Kazakh, Tatar, Bashkir, Belarusian, Yakut 또는 Russian-Moldova를 포함하여 러시아어와 관련된 지역에 속해 있으면 맬웨어가 자체적으로 종료됩니다. 이는 공격자가 러시아어 사용자일 가능성이 있음을 시사합니다.

시스템이 식별된 지역 중 하나에 속하지 않는 경우 악성코드는 시스템의 스크린샷을 찍어 파일 이름 'Scr-urtydcfgads.png'로 C:\Users\Public 폴더에 저장합니다. 그러면 스크린샷이 명령 및 제어(C2, C&C) 서버로 전송됩니다.

C&C 서버에 대한 소켓 연결이 설정되면 정보 탈취 악성코드는 감염된 시스템에 대한 다양한 세부 정보를 수집합니다. 여기에는 하드웨어 ID, GPU 세부 정보, 시스템 RAM 크기, CPU 세부 정보, 화면 세부 정보 및 맬웨어 실행 파일의 이름이 포함됩니다.

이 악성코드는 각 시스템 세부 정보를 메모리에 키-값 쌍 문자열로 별도로 저장합니다. 그런 다음 이 문자열은 Base64 형식을 사용하여 인코딩되고 이전 단계에서 설정된 소켓을 통해 C&C 서버로 전송됩니다.

ImBetter가 시스템 정보 추출을 마치면 감염된 장치에 설치된 브라우저 응용 프로그램을 확인합니다. 이 멀웨어는 20개 이상의 서로 다른 브라우저를 손상시킬 수 있습니다. 악성코드의 대상 브라우저를 기반으로 Chromium 기반 웹 브라우저에 중점을 둔 것으로 보입니다. 또한 ImBetter Stealer는 거의 70가지 유형의 암호화폐 지갑을 표적으로 삼을 수 있습니다.

이 동작은 정보를 훔치는 악성 코드의 고급 기능과 그 배후에 있는 공격자의 높은 수준의 정교함을 보여줍니다. 인터넷을 검색할 때 경계를 늦추지 않고 소프트웨어를 최신 상태로 유지하고 맬웨어 방지 소프트웨어를 사용하여 감염 위험을 줄이는 것이 중요합니다.