ImBetter Stealer

ImBetter ir apdraudoša programmatūra, kas paredzēta sensitīvas informācijas nozagšanai no datorsistēmām un instalētajām lietojumprogrammām. Šī ļaunprogrammatūra spēj iegūt plašu personīgo un konfidenciālo datu klāstu, piemēram, paroles, pieteikšanās akreditācijas datus, kredītkaršu informāciju un citus sensitīvus datus, ko var izmantot krāpnieciskām darbībām. Sīkāka informācija par uzbrukuma ķēdi un draudu iespējām tika publicēta Cyble Research un Intelligence Labs kiberdrošības pētnieku ziņojumā.

Draudu aktieri imitē likumīgas kriptovalūtas vietnes, lai izplatītu ImBetter zagtāju

Kibernoziedznieki izmanto pikšķerēšanas vietnes, kas atdarina populārus kriptovalūtu makus un tiešsaistes failu pārveidotājus, lai mērķētu uz Windows lietotājiem. Šīs ļaunprātīgās vietnes ir izstrādātas, lai maldinātu lietotājus lejupielādēt informāciju zagjošu ļaunprātīgu programmatūru, kas var apdraudēt viņu sensitīvos datus.

Jaunatklātā ImBetter informācijas zagšanas ļaunprogrammatūra spēj nozagt upuru konfidenciālos pārlūkprogrammas datus, tostarp saglabātos pieteikšanās akreditācijas datus, sīkfailus, lietotāju profilus un kriptovalūtas makus. Turklāt ļaunprogrammatūra uzņem upura sistēmas ekrānuzņēmumus un nosūta tos uzbrucējiem.

Abos pikšķerēšanas vietņu gadījumos inficēšanās procesu izraisa lietotāja mijiedarbība ar vietni, piemēram, noklikšķināšana uz noteiktām pogām vai saitēm. Kad ļaunprogrammatūra ir instalēta, tā darbojas klusi fonā, apkopojot datus un nosūtot tos atpakaļ uzbrucējiem.

Šāda veida kiberuzbrukumi ir īpaši bīstami, jo tie var palikt nepamanīti ilgu laiku, ļaujot uzbrucējiem nozagt ievērojamu datu apjomu.

ImBetter Stealer apdraudošās iespējas

Informācijas zagšanas ļaunprogrammatūra pārbauda inficētās sistēmas valodas koda identifikatora (LCID) kodu, lai noteiktu valodu un reģionu. Ja sistēma pieder kādam no reģioniem, kas saistīti ar krievu valodu, tostarp kazahu, tatāru, baškīru, baltkrievu, jakutu vai krievu-moldovas, ļaunprogrammatūra tiek pārtraukta pati par sevi. Tas liek domāt, ka uzbrucēji, visticamāk, ir krievvalodīgie.

Ja sistēma nepieder nevienā no identificētajiem reģioniem, ļaunprogrammatūra uzņem sistēmas ekrānuzņēmumu un saglabā to mapē C:\Users\Public ar faila nosaukumu Scr-urtydcfgads.png. Pēc tam ekrānuzņēmums tiek nosūtīts uz Command and Control (C2, C&C) serveri.

Kad ir izveidots ligzdas savienojums ar C&C serveri, informāciju zagošā ļaunprogrammatūra apkopo dažādu informāciju par inficēto sistēmu. Tas ietver aparatūras ID, GPU informāciju, sistēmas RAM lielumu, CPU informāciju, ekrāna informāciju un ļaunprātīgas programmatūras izpildāmā faila nosaukumu.

Ļaunprātīga programmatūra saglabā katru sistēmas informāciju atsevišķi kā atslēgu un vērtību pāra virkni atmiņā. Pēc tam šī virkne tiek kodēta, izmantojot Base64 formātu, un tiek pārsūtīta uz C&C serveri, izmantojot ligzdu, kas tika izveidota agrāk.

Kad ImBetter ir pabeidzis sistēmas informācijas izvilkšanu, tas pārbauda, vai inficētajā ierīcē nav instalētas pārlūkprogrammas lietojumprogrammas. Ļaunprātīga programmatūra spēj apdraudēt vairāk nekā 20 dažādas pārlūkprogrammas. Pamatojoties uz pārlūkprogrammām, kuru mērķauditorija ir ļaunprātīga programmatūra, šķiet, ka tā galvenokārt koncentrējas uz tīmekļa pārlūkprogrammām, kuru pamatā ir Chromium. Turklāt ImBetter Stealer spēj mērķēt uz gandrīz 70 dažādu veidu kriptovalūtas makiem.

Šāda rīcība parāda informāciju zagošās ļaunprogrammatūras uzlabotās iespējas un uzbrucēju augsto izsmalcinātības līmeni, kas atrodas aiz tās. Lai samazinātu inficēšanās risku, ir ļoti svarīgi saglabāt modrību, pārlūkojot internetu, atjaunināt programmatūru un izmantot pretļaunatūras programmatūru.