ImBetter Stealer
ImBetter är hotfull programvara som är utformad för att stjäla känslig information från datorsystem och installerade applikationer. Denna skadliga programvara kan extrahera ett brett utbud av personliga och konfidentiella uppgifter, såsom lösenord, inloggningsuppgifter, kreditkortsinformation och annan känslig data som kan användas för bedrägliga aktiviteter. Detaljer om attackkedjan och hotets kapacitet släpptes i en rapport från cybersäkerhetsforskare vid Cyble Research and Intelligence Labs.
Hotaktörer imiterar legitima kryptovalutawebbplatser för att sprida ImBetter Stealer
Cyberbrottslingar använder nätfiskewebbplatser som efterliknar populära kryptovaluta-plånböcker och filkonverterare online för att rikta in sig på Windows-användare. Dessa skadliga webbplatser är utformade för att lura användare att ladda ner skadlig programvara som stjäl information, vilket kan äventyra deras känsliga data.
Den nyupptäckta ImBetter informationsstjälande skadlig programvara kan stjäla offrens konfidentiella webbläsardata, inklusive sparade inloggningsuppgifter, cookies, användarprofiler och kryptovaluta plånböcker. Dessutom tar skadlig programvara skärmdumpar av offrets system och skickar dem till angriparna.
I båda fallen av nätfiskewebbplatser utlöser användarens interaktion med webbplatsen, som att klicka på vissa knappar eller länkar, infektionsprocessen. När skadlig programvara är installerad arbetar den tyst i bakgrunden, samlar in data och skickar tillbaka den till angriparna.
Den här typen av cyberattack är särskilt farlig eftersom den kan förbli oupptäckt under längre perioder, vilket gör att angriparna kan stjäla betydande mängder data.
Hotfulla egenskaper hos ImBetter Stealer
Skadlig programvara som stjäl information undersöker LCID-koden ( Language Code Identifier ) för det infekterade systemet för att fastställa språk och region. Om systemet tillhör någon av de regioner som är associerade med det ryska språket, inklusive kazakiska, tatariska, bashkiriska, vitryska, jakut eller rysk-moldavien, upphör skadlig programvara av sig själv. Detta tyder på att angriparna sannolikt är rysktalande.
Om systemet inte tillhör någon av de identifierade regionerna, tar skadlig programvara en skärmdump av systemet och sparar den i mappen C:\Users\Public med filnamnet 'Scr-urtydcfgads.png.' Skärmdumpen skickas sedan till kommando- och kontrollservern (C2, C&C).
När en socket-anslutning väl har upprättats till C&C-servern samlar den informationsstjälande skadliga programvaran in olika detaljer om det infekterade systemet. Detta inkluderar hårdvaru-ID, GPU-detaljer, system-RAM-storlek, CPU-detaljer, skärmdetaljer och namnet på den körbara skadliga filen.
Skadlig programvara lagrar varje systemdetalj separat som en nyckel-värde-parsträng i minnet. Denna sträng kodas sedan med Base64-formatet och sänds till C&C-servern över den socket som etablerades i ett tidigare skede.
När ImBetter har slutat extrahera systeminformation, letar den efter webbläsarapplikationer installerade på den infekterade enheten. Skadlig programvara kan äventyra över 20 olika webbläsare. Baserat på de webbläsare som skadlig programvara riktar sig till verkar den fokusera mycket på Chromium-baserade webbläsare. Dessutom kan ImBetter Stealer rikta in sig på nästan 70 olika typer av kryptovaluta plånböcker.
Detta beteende visar de avancerade funktionerna hos den informationsstöldande skadliga programvaran och den höga nivån av sofistikering hos angriparna bakom den. Det är avgörande att vara vaksam när du surfar på internet, hålla programvaran uppdaterad och använda anti-malware-programvara för att minska risken för infektion.