ImBetter Stealer

O ImBetter é um software ameaçador projetado para roubar informações confidenciais de sistemas de computador e aplicativos instalados. Esse malware é capaz de extrair uma ampla variedade de dados pessoais e confidenciais, como senhas, credenciais de login, informações de cartão de crédito e outros dados confidenciais que podem ser usados para atividades fraudulentas. Detalhes sobre a cadeia de ataque e as capacidades da ameaça foram divulgados em um relatório dos pesquisadores de segurança cibernética da Cyble Research and Intelligence Labs.

Os Autores de Ameaças Imitam Sites Legítimos de Cripto.Moedas para Espalhar o ImBetter Stealer

Os cibercriminosos estão usando sites de phishing que imitam carteiras populares de criptomoedas e conversores de arquivos online para atingir usuários do Windows. Esses sites maliciosos são projetados para induzir os usuários a baixar malwares que roubam informações, o que pode comprometer seus dados confidenciais.

O recém-descoberto malware de roubo de informações ImBetter é capaz de roubar dados confidenciais do navegador das vítimas, incluindo credenciais de login salvas, cookies, perfis de usuário e carteiras de criptomoedas. Além disso, o malware faz capturas de tela do sistema da vítima e as envia aos invasores.

Em ambos os casos de sites de phishing, a interação do usuário com o site, como clicar em determinados botões ou links, desencadeia o processo de infecção. Depois que o malware é instalado, ele opera silenciosamente em segundo plano, coletando dados e enviando-os de volta aos invasores.

Esse tipo de ataque cibernético é particularmente perigoso porque pode passar despercebido por longos períodos, permitindo que os invasores roubem quantidades significativas de dados.

As Capacidades Ameaçadoras do ImBetter Stealer

O malware que rouba informações examina o código do identificador de código de idioma (LCID) do sistema infectado para determinar o idioma e a região. Se o sistema pertencer a qualquer uma das regiões associadas ao idioma russo, incluindo cazaque, tártaro, bashkir, bielorrusso, Yakut ou russo-Moldávia, o malware será encerrado. Isso sugere que os invasores provavelmente falam russo.

Se o sistema não pertencer a uma das regiões identificadas, o malware faz uma captura de tela do sistema e a salva na pasta C:\Users\Public com o nome de arquivo 'Scr-urtydcfgads.png.' A captura de tela é então enviada para o servidor de Comando e Controle (C2, C&C).

Depois que uma conexão de soquete é estabelecida com o servidor C&C, o malware que rouba informações reúne vários detalhes sobre o sistema infectado. Isso inclui o ID do hardware, detalhes da GPU, tamanho da RAM do sistema, detalhes da CPU, detalhes da tela e o nome do executável do malware.

O malware armazena cada detalhe do sistema separadamente como uma string de par chave-valor na memória. Essa string é então codificada usando o formato Base64 e transmitida ao servidor C&C pelo soquete que foi estabelecido em um estágio anterior.

Depois que o ImBetter termina de extrair as informações do sistema, ele verifica se há aplicativos de navegador instalados no dispositivo infectado. O malware é capaz de comprometer mais de 20 navegadores diferentes. Com base nos navegadores visados pelo malware, ele parece se concentrar fortemente em navegadores baseados no Chromium. Além disso, o ImBetter Stealer é capaz de atingir quase 70 tipos diferentes de carteiras de criptomoedas.

Esse comportamento demonstra os recursos avançados do malware de roubo de informações e o alto nível de sofisticação dos invasores por trás dele. É crucial permanecer vigilante ao navegar na Internet, manter o software atualizado e usar software anti-malware para reduzir o risco de infecção.