ImBetter Stealer

ИмБеттер је претећи софтвер који је дизајниран да украде осетљиве информације из рачунарских система и инсталираних апликација. Овај злонамерни софтвер је способан да издвоји широк спектар личних и поверљивих података, као што су лозинке, акредитиви за пријаву, информације о кредитној картици и други осетљиви подаци који се могу користити за лажне активности. Детаљи о ланцу напада и могућностима претње објављени су у извештају истраживача сајбер безбедности у Цибле Ресеарцх анд Интеллигенце Лабс.

Актери претњи имитирају легитимне веб странице криптовалута како би ширили крадљивца ИмБеттер

Сајбер-криминалци користе веб-сајтове за крађу идентитета који опонашају популарне новчанике за криптовалуте и онлајн претвараче датотека за циљање корисника Виндовс-а. Ове злонамерне веб локације су дизајниране да преваре кориснике да преузму злонамерни софтвер за крађу информација, који може да угрози њихове осетљиве податке.

Новооткривени малвер за крађу информација ИмБеттер способан је да украде поверљиве податке претраживача жртава, укључујући сачуване акредитиве за пријаву, колачиће, корисничке профиле и новчанике за криптовалуте. Поред тога, злонамерни софтвер прави снимке екрана система жртве и шаље их нападачима.

У оба случаја пхисхинг веб локација, интеракција корисника са веб локацијом, као што је клик на одређена дугмад или везе, покреће процес инфекције. Када се малвер инсталира, он ради тихо у позадини, прикупља податке и шаље их назад нападачима.

Ова врста сајбер напада је посебно опасна јер може остати неоткривена током дужег периода, омогућавајући нападачима да украду значајне количине података.

Претеће могућности ИмБеттер Стеалер-а

Малвер за крађу информација испитује идентификатор језичког кода (ЛЦИД) код зараженог система да би одредио језик и регион. Ако систем припада неком од региона повезаних са руским језиком, укључујући казахстански, татарски, башкирски, белоруски, јакутски или руско-молдавски, малвер се сам поништава. Ово сугерише да су нападачи вероватно говорници руског језика.

Ако систем не припада једном од идентификованих региона, злонамерни софтвер прави снимак екрана система и чува га у фасцикли Ц:\Усерс\Публиц са именом датотеке „Сцр-уртидцфгадс.пнг“. Снимак екрана се затим шаље серверу за команду и контролу (Ц2, Ц&Ц).

Када се успостави соцкет веза са Ц&Ц сервером, малвер за крађу информација прикупља различите детаље о зараженом систему. Ово укључује ИД хардвера, детаље ГПУ-а, величину системске РАМ меморије, детаље ЦПУ-а, детаље о екрану и назив извршне датотеке злонамерног софтвера.

Злонамерни софтвер чува сваки детаљ система засебно као стринг пара кључ/вредност у меморији. Овај низ се затим кодира коришћењем Басе64 формата и преноси на Ц&Ц сервер преко утичнице која је успостављена у ранијој фази.

Када ИмБеттер заврши екстраховање системских информација, проверава да ли су апликације претраживача инсталиране на зараженом уређају. Малвер је способан да угрози преко 20 различитих претраживача. На основу прегледача које је малвер циљао, чини се да се у великој мери фокусира на веб прегледаче засноване на Цхромиум-у. Поред тога, ИмБеттер Стеалер је у стању да циља скоро 70 различитих типова новчаника криптовалута.

Ово понашање показује напредне могућности малвера за крађу информација и висок ниво софистицираности нападача који стоје иза тога. Од кључне је важности да останете на опрезу када претражујете интернет, да ажурирате софтвер и користите софтвер против малвера да бисте смањили ризик од инфекције.