ImBetter Stealer

ImBetter to groźne oprogramowanie, którego celem jest kradzież poufnych informacji z systemów komputerowych i zainstalowanych aplikacji. To złośliwe oprogramowanie jest w stanie wyodrębnić szeroki zakres danych osobistych i poufnych, takich jak hasła, dane logowania, informacje o kartach kredytowych i inne poufne dane, które mogą zostać wykorzystane do oszukańczych działań. Szczegóły dotyczące łańcucha ataków i możliwości tego zagrożenia zostały ujawnione w raporcie badaczy cyberbezpieczeństwa z Cyble Research and Intelligence Labs.

Aktorzy zagrażający imitują legalne strony internetowe z kryptowalutami, aby rozprzestrzeniać ImBetter Stealer

Cyberprzestępcy wykorzystują witryny phishingowe, które imitują popularne portfele kryptowalutowe i konwertery plików online, aby atakować użytkowników systemu Windows. Te złośliwe strony internetowe mają na celu nakłonienie użytkowników do pobrania złośliwego oprogramowania kradnącego informacje, które może narazić na szwank ich poufne dane.

Nowo odkryte złośliwe oprogramowanie ImBetter kradnące informacje jest w stanie wykraść poufne dane przeglądarki ofiar, w tym zapisane dane logowania, pliki cookie, profile użytkowników i portfele kryptowalut. Dodatkowo malware wykonuje zrzuty ekranu systemu ofiary i wysyła je do atakujących.

W obu przypadkach stron phishingowych interakcja użytkownika z witryną, taka jak klikanie określonych przycisków lub łączy, uruchamia proces infekcji. Po zainstalowaniu złośliwe oprogramowanie działa po cichu w tle, zbierając dane i wysyłając je z powrotem do atakujących.

Ten rodzaj cyberataku jest szczególnie niebezpieczny, ponieważ może pozostać niewykryty przez dłuższy czas, co pozwala atakującym na kradzież znacznych ilości danych.

Groźne możliwości ImBetter Stealer

Złośliwe oprogramowanie kradnące informacje sprawdza kod identyfikatora kodu języka (LCID) zainfekowanego systemu, aby określić język i region. Jeśli system należy do któregoś z regionów powiązanych z językiem rosyjskim, w tym kazachskiego, tatarskiego, baszkirskiego, białoruskiego, jakuckiego lub rosyjsko-mołdawskiego, złośliwe oprogramowanie kończy samoczynnie. Sugeruje to, że napastnicy są prawdopodobnie rosyjskojęzyczni.

Jeśli system nie należy do żadnego ze zidentyfikowanych regionów, złośliwe oprogramowanie wykonuje zrzut ekranu systemu i zapisuje go w folderze C:\Users\Public pod nazwą pliku „Scr-urtydcfgads.png”. Zrzut ekranu jest następnie wysyłany do serwera dowodzenia i kontroli (C2, C&C).

Po nawiązaniu połączenia przez gniazdo z serwerem C&C złośliwe oprogramowanie kradnące informacje gromadzi różne szczegóły dotyczące zainfekowanego systemu. Obejmuje to identyfikator sprzętu, szczegóły GPU, rozmiar systemowej pamięci RAM, szczegóły procesora, szczegóły ekranu i nazwę pliku wykonywalnego złośliwego oprogramowania.

Szkodliwe oprogramowanie przechowuje każdy szczegół systemu osobno jako ciąg pary klucz-wartość w pamięci. Ciąg ten jest następnie kodowany przy użyciu formatu Base64 i przesyłany do serwera C&C przez gniazdo utworzone na wcześniejszym etapie.

Gdy ImBetter zakończy wyodrębnianie informacji systemowych, sprawdza aplikacje przeglądarki zainstalowane na zainfekowanym urządzeniu. Złośliwe oprogramowanie jest w stanie zainfekować ponad 20 różnych przeglądarek. Bazując na przeglądarkach, na które atakuje złośliwe oprogramowanie, wydaje się, że koncentruje się głównie na przeglądarkach internetowych opartych na Chromium. Dodatkowo ImBetter Stealer może atakować prawie 70 różnych typów portfeli kryptowalut.

Takie zachowanie demonstruje zaawansowane możliwości złośliwego oprogramowania kradnącego informacje oraz wysoki poziom wyrafinowania stojących za nim atakujących. Ważne jest, aby zachować czujność podczas przeglądania Internetu, aktualizować oprogramowanie i używać oprogramowania chroniącego przed złośliwym oprogramowaniem, aby zmniejszyć ryzyko infekcji.