ImBetter Stealer

ImBetter este un software amenințător care este conceput pentru a fura informații sensibile din sistemele informatice și aplicațiile instalate. Acest malware este capabil să extragă o gamă largă de date personale și confidențiale, cum ar fi parole, acreditări de conectare, informații despre cardul de credit și alte date sensibile care pot fi utilizate pentru activități frauduloase. Detalii despre lanțul de atac și capacitățile amenințării au fost publicate într-un raport al cercetătorilor în securitate cibernetică de la Cyble Research and Intelligence Labs.

Actorii amenințărilor imită site-uri web legitime cu criptomonede pentru a răspândi ImBetter Stealer

Infractorii cibernetici folosesc site-uri web de phishing care imită portofelele populare de criptomonede și convertoare de fișiere online pentru a viza utilizatorii Windows. Aceste site-uri web rău intenționate sunt concepute pentru a păcăli utilizatorii să descarce programe malware care fură informații, care le pot compromite datele sensibile.

Malware-ul ImBetter care fură informații recent descoperit este capabil să fure datele confidențiale ale browserului victimelor, inclusiv acreditările de conectare salvate, cookie-urile, profilurile de utilizator și portofelele cu criptomonede. În plus, malware-ul face capturi de ecran ale sistemului victimei și le trimite atacatorilor.

În ambele cazuri de site-uri web de tip phishing, interacțiunea utilizatorului cu site-ul web, cum ar fi clicul pe anumite butoane sau linkuri, declanșează procesul de infecție. Odată instalat malware-ul, acesta funcționează în tăcere în fundal, colectând date și trimițându-le înapoi atacatorilor.

Acest tip de atac cibernetic este deosebit de periculos, deoarece poate rămâne nedetectat pentru perioade îndelungate, permițând atacatorilor să fure cantități semnificative de date.

Capabilitățile amenințătoare ale ImBetter Stealer

Programul malware care fură informații examinează codul de identificare a codului de limbă (LCID) al sistemului infectat pentru a determina limba și regiunea. Dacă sistemul aparține uneia dintre regiunile asociate cu limba rusă, inclusiv kazah, tătar, bașkir, belarus, iakut sau ruso-Moldova, malware-ul se termină singur. Acest lucru sugerează că atacatorii sunt probabil vorbitori de rusă.

Dacă sistemul nu aparține uneia dintre regiunile identificate, malware-ul face o captură de ecran a sistemului și o salvează în folderul C:\Users\Public cu numele de fișier „Scr-urtydcfgads.png”. Captura de ecran este trimisă apoi către serverul de comandă și control (C2, C&C).

Odată ce o conexiune socket este stabilită la serverul C&C, malware-ul care fură informații adună diverse detalii despre sistemul infectat. Aceasta include ID-ul hardware, detaliile GPU, dimensiunea RAM de sistem, detalii CPU, detalii ecran și numele executabilului malware.

Malware-ul stochează fiecare detaliu de sistem separat ca șir de pereche cheie-valoare în memorie. Acest șir este apoi codificat folosind formatul Base64 și transmis către serverul C&C prin socket-ul care a fost stabilit într-o etapă anterioară.

Odată ce ImBetter a terminat de extras informații despre sistem, verifică dacă există aplicații de browser instalate pe dispozitivul infectat. Programul malware este capabil să compromită peste 20 de browsere diferite. Pe baza browserelor vizate de malware, pare să se concentreze în mare măsură pe browserele web bazate pe Chromium. În plus, ImBetter Stealer este capabil să vizeze aproape 70 de tipuri diferite de portofele criptomonede.

Acest comportament demonstrează capabilitățile avansate ale malware-ului de furt de informații și nivelul ridicat de sofisticare al atacatorilor din spatele acestuia. Este esențial să rămâneți vigilenți atunci când navigați pe internet, să păstrați software-ul actualizat și să utilizați software anti-malware pentru a reduce riscul de infecție.