ImBetter Stealer

ImBetter grozi s programsko opremo, ki je zasnovana za krajo občutljivih informacij iz računalniških sistemov in nameščenih aplikacij. Ta zlonamerna programska oprema je sposobna pridobiti širok nabor osebnih in zaupnih podatkov, kot so gesla, poverilnice za prijavo, podatki o kreditnih karticah in drugi občutljivi podatki, ki se lahko uporabijo za goljufive dejavnosti. Podrobnosti o verigi napadov in zmožnostih grožnje so bile objavljene v poročilu raziskovalcev kibernetske varnosti pri Cyble Research and Intelligence Labs.

Akterji groženj posnemajo legitimna spletna mesta s kriptovalutami, da razširijo ImBetter Stealer

Kibernetski kriminalci uporabljajo lažna spletna mesta, ki posnemajo priljubljene denarnice za kriptovalute in spletne pretvornike datotek, da ciljajo na uporabnike sistema Windows. Ta zlonamerna spletna mesta so zasnovana tako, da uporabnike zavedejo v prenos zlonamerne programske opreme za krajo informacij, ki lahko ogrozi njihove občutljive podatke.

Na novo odkrita zlonamerna programska oprema ImBetter za krajo informacij je sposobna ukrasti zaupne podatke brskalnika žrtev, vključno s shranjenimi poverilnicami za prijavo, piškotki, uporabniškimi profili in denarnicami za kriptovalute. Poleg tega zlonamerna programska oprema naredi posnetke zaslona žrtvinega sistema in jih pošlje napadalcem.

V obeh primerih spletnih strani z lažnim predstavljanjem uporabnikova interakcija s spletno stranjo, kot je klik na določene gumbe ali povezave, sproži proces okužbe. Ko je zlonamerna programska oprema nameščena, deluje tiho v ozadju, zbira podatke in jih pošilja nazaj napadalcem.

Ta vrsta kibernetskega napada je še posebej nevarna, ker lahko ostane neodkrit dalj časa, kar napadalcem omogoči krajo znatnih količin podatkov.

Nevarne zmožnosti ImBetter Stealerja

Zlonamerna programska oprema, ki krade informacije, pregleda kodo identifikatorja jezikovne kode (LCID) okuženega sistema, da določi jezik in regijo. Če sistem pripada kateri koli regiji, povezani z ruskim jezikom, vključno s kazahstanščino, tatarščino, baškirščino, beloruščino, jakutščino ali rusko-moldavsko, se zlonamerna programska oprema sama ustavi. To nakazuje, da so napadalci verjetno rusko govoreči.

Če sistem ne pripada eni od identificiranih regij, zlonamerna programska oprema naredi posnetek zaslona sistema in ga shrani v mapo C:\Users\Public z imenom datoteke 'Scr-urtydcfgads.png.' Posnetek zaslona se nato pošlje strežniku za ukaze in nadzor (C2, C&C).

Ko je vzpostavljena vtičnična povezava s strežnikom C&C, zlonamerna programska oprema, ki krade informacije, zbira različne podrobnosti o okuženem sistemu. To vključuje ID strojne opreme, podrobnosti GPE-ja, velikost sistemskega RAM-a, podrobnosti CPE-ja, podrobnosti zaslona in ime izvedljive datoteke zlonamerne programske opreme.

Zlonamerna programska oprema shrani vsako podrobnost sistema ločeno kot niz para ključ-vrednost v pomnilnik. Ta niz je nato kodiran z uporabo formata Base64 in posredovan strežniku C&C preko vtičnice, ki je bila vzpostavljena v prejšnji fazi.

Ko ImBetter konča z ekstrakcijo sistemskih informacij, preveri, ali so v okuženi napravi nameščene aplikacije brskalnika. Zlonamerna programska oprema lahko ogrozi več kot 20 različnih brskalnikov. Na podlagi brskalnikov, na katere cilja zlonamerna programska oprema, se zdi, da se močno osredotoča na spletne brskalnike, ki temeljijo na Chromiumu. Poleg tega je ImBetter Stealer sposoben ciljati na skoraj 70 različnih vrst denarnic za kriptovalute.

To vedenje dokazuje napredne zmogljivosti zlonamerne programske opreme, ki krade informacije, in visoko stopnjo izpopolnjenosti napadalcev, ki stojijo za njo. Ključnega pomena je, da ostanete pozorni pri brskanju po internetu, posodabljate programsko opremo in uporabljate programsko opremo proti zlonamerni programski opremi, da zmanjšate tveganje okužbe.