ImBetter Stealer

ImBetter — это угрожающее программное обеспечение, предназначенное для кражи конфиденциальной информации из компьютерных систем и установленных приложений. Это вредоносное ПО способно извлекать широкий спектр личных и конфиденциальных данных, таких как пароли, учетные данные для входа в систему, информацию о кредитной карте и другие конфиденциальные данные, которые могут использоваться для мошеннических действий. Подробности о цепочке атак и возможностях угрозы были опубликованы в отчете исследователей кибербезопасности из Cyble Research and Intelligence Labs.

Злоумышленники имитируют законные веб-сайты криптовалюты для распространения кражи ImBetter

Киберпреступники используют фишинговые веб-сайты, которые имитируют популярные криптовалютные кошельки и онлайн-конвертеры файлов, чтобы атаковать пользователей Windows. Эти вредоносные веб-сайты предназначены для того, чтобы заставить пользователей загружать вредоносное ПО для кражи информации, которое может поставить под угрозу их конфиденциальные данные.

Недавно обнаруженная вредоносная программа ImBetter для кражи информации способна похищать конфиденциальные данные браузера жертв, включая сохраненные учетные данные для входа, файлы cookie, профили пользователей и криптовалютные кошельки. Кроме того, вредоносная программа делает скриншоты системы жертвы и отправляет их злоумышленникам.

В обоих случаях с фишинговыми веб-сайтами взаимодействие пользователя с веб-сайтом, например нажатие определенных кнопок или ссылок, запускает процесс заражения. После установки вредоносное ПО тихо работает в фоновом режиме, собирая данные и отправляя их злоумышленникам.

Этот тип кибератаки особенно опасен, потому что он может оставаться незамеченным в течение длительного времени, что позволяет злоумышленникам украсть значительные объемы данных.

Угрожающие возможности ImBetter Stealer

Вредоносное ПО для кражи информации проверяет код идентификатора языка (LCID) зараженной системы, чтобы определить язык и регион. Если система относится к какому-либо из регионов, связанных с русским языком, в том числе к казахскому, татарскому, башкирскому, белорусскому, якутскому или русско-молдавскому, вредоносная программа самоуничтожается. Это говорит о том, что злоумышленники, скорее всего, являются русскоязычными.

Если система не принадлежит ни к одному из идентифицированных регионов, вредоносная программа делает снимок экрана системы и сохраняет его в папке C:\Users\Public с именем файла «Scr-urtydcfgads.png». Затем снимок экрана отправляется на сервер управления и контроля (C2, C&C).

Как только сокетное соединение установлено с C&C-сервером, вредоносное ПО для кражи информации собирает различные сведения о зараженной системе. Сюда входят идентификатор оборудования, сведения о графическом процессоре, размере оперативной памяти системы, сведения о процессоре, сведения об экране и имя исполняемого файла вредоносного ПО.

Вредоносная программа хранит каждую деталь системы отдельно в виде строки пары ключ-значение в памяти. Затем эта строка кодируется в формате Base64 и передается на C&C-сервер через сокет, который был установлен на более раннем этапе.

Как только ImBetter завершит извлечение системной информации, он проверит наличие приложений браузера, установленных на зараженном устройстве. Вредоносная программа способна скомпрометировать более 20 различных браузеров. Судя по браузерам, на которые нацелено вредоносное ПО, основное внимание уделяется веб-браузерам на основе Chromium. Кроме того, ImBetter Stealer может работать с почти 70 различными типами криптовалютных кошельков.

Такое поведение демонстрирует расширенные возможности вредоносного ПО для кражи информации и высокий уровень изощренности стоящих за ним злоумышленников. Крайне важно сохранять бдительность при работе в Интернете, обновлять программное обеспечение и использовать антивирусное программное обеспечение, чтобы снизить риск заражения.