ImBetter Stealer

ImBetter yra grėsminga programinė įranga, skirta pavogti slaptą informaciją iš kompiuterių sistemų ir įdiegtų programų. Ši kenkėjiška programa gali išgauti daugybę asmeninių ir konfidencialių duomenų, tokių kaip slaptažodžiai, prisijungimo duomenys, kredito kortelės informacija ir kiti slapti duomenys, kurie gali būti naudojami nesąžiningai veiklai. Išsamią informaciją apie atakų grandinę ir grėsmės galimybes paskelbė Cyble Research ir Intelligence Labs kibernetinio saugumo tyrėjai.

Grėsmės aktoriai imituoja teisėtas kriptovaliutų svetaines, kad išplatintų „ImBetter Stealer“

Kibernetiniai nusikaltėliai naudoja sukčiavimo svetaines, kurios imituoja populiarias kriptovaliutų pinigines ir internetinius failų keitiklius, kad nukreiptų į „Windows“ vartotojus. Šios kenkėjiškos svetainės sukurtos siekiant apgauti vartotojus atsisiųsti informaciją vagiančias kenkėjiškas programas, kurios gali pažeisti jų neskelbtinus duomenis.

Naujai atrasta informaciją vagianti „ImBetter“ kenkėjiška programa gali pavogti konfidencialius aukų naršyklės duomenis, įskaitant išsaugotus prisijungimo duomenis, slapukus, vartotojų profilius ir kriptovaliutų pinigines. Be to, kenkėjiška programa daro aukos sistemos ekrano kopijas ir siunčia jas užpuolikams.

Abiem atvejais, kai sukčiaujama iš sukčiavimo svetainių, vartotojo sąveika su svetaine, pvz., spustelėjus tam tikrus mygtukus ar nuorodas, sukelia infekcijos procesą. Įdiegus kenkėjišką programą, ji tyliai veikia fone, renka duomenis ir siunčia juos atgal užpuolikams.

Šio tipo kibernetinės atakos yra ypač pavojingos, nes jos gali būti nepastebimos ilgą laiką, todėl užpuolikai gali pavogti didelius duomenų kiekius.

„ImBetter Stealer“ grėsmingos galimybės

Informaciją vagianti kenkėjiška programa tiria užkrėstos sistemos kalbos kodo identifikatoriaus (LCID) kodą, kad nustatytų kalbą ir regioną. Jei sistema priklauso kuriam nors iš regionų, susijusių su rusų kalba, įskaitant kazachų, totorių, baškirų, baltarusių, jakutų ar rusų-moldovų, kenkėjiška programa pati baigiasi. Tai rodo, kad užpuolikai greičiausiai yra rusakalbiai.

Jei sistema nepriklauso vienam iš nustatytų regionų, kenkėjiška programa padaro sistemos ekrano kopiją ir išsaugo ją aplanke C:\Users\Public failo pavadinimu „Scr-urtydcfgads.png“. Tada ekrano kopija siunčiama į komandų ir valdymo (C2, C&C) serverį.

Užmezgus lizdo ryšį su C&C serveriu, informaciją vagianti kenkėjiška programa surenka įvairią informaciją apie užkrėstą sistemą. Tai apima aparatinės įrangos ID, GPU informaciją, sistemos RAM dydį, procesoriaus informaciją, ekrano informaciją ir kenkėjiškos programos vykdomosios programos pavadinimą.

Kenkėjiška programa saugo kiekvieną sistemos detalę atskirai kaip raktų ir reikšmių poros eilutę atmintyje. Tada ši eilutė užkoduojama naudojant Base64 formatą ir perduodama į C&C serverį per lizdą, kuris buvo sukurtas ankstesniame etape.

Kai ImBetter baigia išgauti sistemos informaciją, ji patikrina, ar užkrėstame įrenginyje nėra įdiegtų naršyklės programų. Kenkėjiška programa gali pažeisti daugiau nei 20 skirtingų naršyklių. Remiantis naršyklėmis, kurioms taikoma kenkėjiška programa, atrodo, kad ji daug dėmesio skiria Chromium pagrįstoms žiniatinklio naršyklėms. Be to, „ImBetter Stealer“ gali pritaikyti beveik 70 skirtingų tipų kriptovaliutų piniginių.

Toks elgesys parodo pažangias informaciją vagiančios kenkėjiškos programos galimybes ir aukštą už tai užpuolusių užpuolikų rafinuotumą. Labai svarbu išlikti budriems naršant internete, nuolat atnaujinti programinę įrangą ir naudoti apsaugos nuo kenkėjiškų programų programinę įrangą, kad sumažintumėte užsikrėtimo riziką.