ImBetter Stealer

ImBetter mengancam perisian yang direka untuk mencuri maklumat sensitif daripada sistem komputer dan aplikasi yang dipasang. Malware ini mampu mengekstrak pelbagai jenis data peribadi dan sulit, seperti kata laluan, bukti kelayakan log masuk, maklumat kad kredit dan data sensitif lain yang boleh digunakan untuk aktiviti penipuan. Butiran mengenai rantaian serangan dan keupayaan ancaman itu dikeluarkan dalam laporan oleh penyelidik keselamatan siber di Cyble Research and Intelligence Labs.

Pelakon Ancaman Meniru Laman Web Mata Wang Kripto yang Sah untuk Menyebarkan Pencuri yang Lebih Baik

Penjenayah siber menggunakan tapak web pancingan data yang meniru dompet mata wang kripto yang popular dan penukar fail dalam talian untuk menyasarkan pengguna Windows. Tapak web berniat jahat ini direka bentuk untuk menipu pengguna supaya memuat turun perisian hasad yang mencuri maklumat, yang boleh menjejaskan data sensitif mereka.

Perisian hasad yang mencuri maklumat ImBetter yang baru ditemui mampu mencuri data penyemak imbas sulit mangsa, termasuk bukti kelayakan log masuk yang disimpan, kuki, profil pengguna dan dompet mata wang kripto. Selain itu, perisian hasad mengambil tangkapan skrin sistem mangsa dan menghantarnya kepada penyerang.

Dalam kedua-dua kes tapak web pancingan data, interaksi pengguna dengan tapak web, seperti mengklik butang atau pautan tertentu, mencetuskan proses jangkitan. Sebaik sahaja perisian hasad dipasang, ia beroperasi secara senyap di latar belakang, mengumpul data dan menghantarnya kembali kepada penyerang.

Jenis serangan siber ini amat berbahaya kerana ia boleh tidak dapat dikesan untuk tempoh yang lama, membolehkan penyerang mencuri sejumlah besar data.

Keupayaan Mengancam Pencuri ImBetter

Perisian hasad yang mencuri maklumat memeriksa kod Language Code Identifier (LCID) sistem yang dijangkiti untuk menentukan bahasa dan wilayah. Jika sistem milik mana-mana wilayah yang dikaitkan dengan bahasa Rusia, termasuk Kazakh, Tatar, Bashkir, Belarusia, Yakut atau Rusia-Moldova, perisian hasad akan ditamatkan dengan sendirinya. Ini menunjukkan bahawa penyerang berkemungkinan penutur bahasa Rusia.

Jika sistem tidak tergolong dalam salah satu kawasan yang dikenal pasti, perisian hasad mengambil tangkapan skrin sistem dan menyimpannya dalam folder C:\Users\Public dengan nama fail 'Scr-urtydcfgads.png.' Tangkapan skrin kemudiannya dihantar ke pelayan Perintah dan Kawalan (C2, C&C).

Sebaik sahaja sambungan soket diwujudkan ke pelayan C&C, perisian hasad yang mencuri maklumat mengumpulkan pelbagai butiran tentang sistem yang dijangkiti. Ini termasuk ID perkakasan, butiran GPU, saiz RAM sistem, butiran CPU, butiran skrin dan nama perisian hasad boleh laku.

Malware menyimpan setiap butiran sistem secara berasingan sebagai rentetan pasangan nilai kunci dalam ingatan. Rentetan ini kemudiannya dikodkan menggunakan format Base64 dan dihantar ke pelayan C&C melalui soket yang telah ditubuhkan pada peringkat awal.

Setelah ImBetter selesai mengekstrak maklumat sistem, ia menyemak aplikasi penyemak imbas yang dipasang pada peranti yang dijangkiti. Malware ini mampu menjejaskan lebih 20 penyemak imbas yang berbeza. Berdasarkan penyemak imbas yang disasarkan oleh perisian hasad, ia nampaknya menumpukan banyak pada penyemak imbas web berasaskan Chromium. Selain itu, ImBetter Stealer mampu menyasarkan hampir 70 jenis dompet mata wang kripto yang berbeza.

Tingkah laku ini menunjukkan keupayaan lanjutan perisian hasad yang mencuri maklumat dan tahap kecanggihan penyerang di belakangnya. Adalah penting untuk sentiasa berwaspada semasa menyemak imbas Internet, memastikan perisian terkini dan menggunakan perisian anti-malware untuk mengurangkan risiko jangkitan.