ImBetter Stealer
ImBetter is bedreigende software die is ontworpen om gevoelige informatie van computersystemen en geïnstalleerde applicaties te stelen. Deze malware is in staat om een breed scala aan persoonlijke en vertrouwelijke gegevens te extraheren, zoals wachtwoorden, inloggegevens, creditcardgegevens en andere gevoelige gegevens die kunnen worden gebruikt voor frauduleuze activiteiten. Details over de aanvalsketen en de mogelijkheden van de dreiging zijn vrijgegeven in een rapport van de cyberbeveiligingsonderzoekers van Cyble Research and Intelligence Labs.
Bedreigers imiteren legitieme cryptocurrency-websites om de ImBetter-stealer te verspreiden
Cybercriminelen gebruiken phishing-websites die populaire cryptocurrency-portemonnees en online bestandsconversieprogramma's nabootsen om zich op Windows-gebruikers te richten. Deze kwaadaardige websites zijn ontworpen om gebruikers te misleiden zodat ze informatiestelende malware downloaden, die hun gevoelige gegevens kan compromitteren.
De nieuw ontdekte ImBetter-malware voor het stelen van informatie is in staat om vertrouwelijke browsergegevens van slachtoffers te stelen, waaronder opgeslagen inloggegevens, cookies, gebruikersprofielen en cryptocurrency-portefeuilles. Bovendien maakt de malware screenshots van het systeem van het slachtoffer en stuurt deze naar de aanvallers.
In beide gevallen van phishing-websites veroorzaakt de interactie van de gebruiker met de website, zoals het klikken op bepaalde knoppen of links, het infectieproces. Zodra de malware is geïnstalleerd, werkt deze geruisloos op de achtergrond, verzamelt gegevens en stuurt deze terug naar de aanvallers.
Dit type cyberaanval is bijzonder gevaarlijk omdat het lange tijd onopgemerkt kan blijven, waardoor de aanvallers aanzienlijke hoeveelheden gegevens kunnen stelen.
Bedreigende mogelijkheden van de ImBetter Stealer
De malware die informatie steelt, onderzoekt de Language Code Identifier-code (LCID) van het geïnfecteerde systeem om de taal en regio te bepalen. Als het systeem behoort tot een van de regio's die verband houden met de Russische taal, waaronder Kazachs, Tataars, Bashkir, Wit-Russisch, Yakut of Russisch-Moldavië, beëindigt de malware zichzelf. Dit suggereert dat de aanvallers waarschijnlijk Russischtaligen zijn.
Als het systeem niet tot een van de geïdentificeerde regio's behoort, maakt de malware een screenshot van het systeem en slaat deze op in de map C:\Users\Public met de bestandsnaam 'Scr-urtydcfgads.png.' De schermafbeelding wordt vervolgens naar de Command and Control-server (C2, C&C) gestuurd.
Zodra er een socketverbinding tot stand is gebracht met de C&C-server, verzamelt de informatiestelende malware verschillende details over het geïnfecteerde systeem. Dit omvat de hardware-ID, GPU-details, systeem-RAM-grootte, CPU-details, schermdetails en de naam van het uitvoerbare malwarebestand.
De malware slaat elk systeemdetail afzonderlijk op als een reeks sleutel-waardeparen in het geheugen. Deze string wordt vervolgens gecodeerd met behulp van het Base64-formaat en verzonden naar de C&C-server via de socket die in een eerder stadium tot stand is gebracht.
Zodra de ImBetter klaar is met het extraheren van systeeminformatie, controleert het op browsertoepassingen die op het geïnfecteerde apparaat zijn geïnstalleerd. De malware kan meer dan 20 verschillende browsers in gevaar brengen. Op basis van de browsers die het doelwit zijn van de malware, lijkt deze zich sterk te richten op op Chromium gebaseerde webbrowsers. Bovendien kan de ImBetter Stealer zich richten op bijna 70 verschillende soorten cryptocurrency-portefeuilles.
Dit gedrag demonstreert de geavanceerde mogelijkheden van de informatiestelende malware en het hoge niveau van verfijning van de aanvallers erachter. Het is cruciaal om waakzaam te blijven tijdens het surfen op internet, software up-to-date te houden en antimalwaresoftware te gebruiken om het risico op infectie te verminderen.
