ImBetter Stealer

ImBetter er truende programvare som er utviklet for å stjele sensitiv informasjon fra datasystemer og installerte applikasjoner. Denne skadevare er i stand til å trekke ut et bredt spekter av personlige og konfidensielle data, for eksempel passord, påloggingsinformasjon, kredittkortinformasjon og andre sensitive data som kan brukes til uredelige aktiviteter. Detaljer om angrepskjeden og trusselens evner ble utgitt i en rapport fra cybersikkerhetsforskerne ved Cyble Research and Intelligence Labs.

Trusselaktører imiterer legitime kryptovalutanettsteder for å spre ImBetter-tyveren

Nettkriminelle bruker phishing-nettsteder som etterligner populære kryptovaluta-lommebøker og online filkonverterere for å målrette Windows-brukere. Disse ondsinnede nettstedene er laget for å lure brukere til å laste ned informasjonsstjele skadelig programvare, som kan kompromittere deres sensitive data.

Den nyoppdagede ImBetter informasjonsstjeler malware er i stand til å stjele ofrenes konfidensielle nettleserdata, inkludert lagrede påloggingsinformasjon, informasjonskapsler, brukerprofiler og kryptovaluta-lommebøker. I tillegg tar skadevaren skjermbilder av offerets system og sender dem til angriperne.

I begge tilfeller av phishing-nettsteder, utløser brukerens interaksjon med nettsiden, som å klikke på enkelte knapper eller lenker, infeksjonsprosessen. Når skadelig programvare er installert, opererer den stille i bakgrunnen, samler inn data og sender den tilbake til angriperne.

Denne typen nettangrep er spesielt farlig fordi den kan forbli uoppdaget i lengre perioder, slik at angriperne kan stjele betydelige mengder data.

Truende evner til ImBetter Stealer

Skadevaren som stjeler informasjon undersøker Language Code Identifier (LCID)-koden til det infiserte systemet for å bestemme språket og regionen. Hvis systemet tilhører noen av regionene som er knyttet til det russiske språket, inkludert kasakhisk, tatarisk, bashkirisk, hviterussisk, yakut eller russisk-Moldova, avsluttes skadelig programvare av seg selv. Dette tyder på at angriperne sannsynligvis er russisktalende.

Hvis systemet ikke tilhører en av de identifiserte regionene, tar skadelig programvare et skjermbilde av systemet og lagrer det i mappen C:\Users\Public med filnavnet 'Scr-urtydcfgads.png.' Skjermbildet sendes deretter til Command and Control-serveren (C2, C&C).

Når en socket-tilkobling er opprettet til C&C-serveren, samler den informasjonstjelende skadelige programvaren ulike detaljer om det infiserte systemet. Dette inkluderer maskinvare-ID, GPU-detaljer, system-RAM-størrelse, CPU-detaljer, skjermdetaljer og navnet på den kjørbare programvaren.

Skadevaren lagrer hver systemdetalj separat som en nøkkel-verdi-parstreng i minnet. Denne strengen kodes deretter med Base64-formatet og overføres til C&C-serveren over kontakten som ble etablert i et tidligere stadium.

Når ImBetter er ferdig med å trekke ut systeminformasjon, ser den etter nettleserapplikasjoner installert på den infiserte enheten. Skadevaren er i stand til å kompromittere over 20 forskjellige nettlesere. Basert på nettleserne som er målrettet mot skadelig programvare, ser det ut til at den fokuserer sterkt på Chromium-baserte nettlesere. I tillegg er ImBetter Stealer i stand til å målrette mot nesten 70 forskjellige typer kryptovaluta-lommebøker.

Denne oppførselen demonstrerer de avanserte egenskapene til den informasjonstjevende skadevare og det høye sofistikerte nivået til angriperne bak. Det er avgjørende å være årvåken når du surfer på internett, holde programvaren oppdatert og bruke anti-malware-programvare for å redusere risikoen for infeksjon.