ImBetter Stealer

ImBetter เป็นซอฟต์แวร์คุกคามที่ออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากระบบคอมพิวเตอร์และแอปพลิเคชันที่ติดตั้งไว้ มัลแวร์นี้สามารถดึงข้อมูลส่วนตัวและข้อมูลลับได้หลากหลาย เช่น รหัสผ่าน ข้อมูลรับรองการเข้าสู่ระบบ ข้อมูลบัตรเครดิต และข้อมูลสำคัญอื่นๆ ที่สามารถใช้ในการฉ้อโกงได้ รายละเอียดเกี่ยวกับห่วงโซ่การโจมตีและความสามารถของภัยคุกคามได้รับการเปิดเผยในรายงานโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Cyble Research and Intelligence Labs

นักคุกคามเลียนแบบเว็บไซต์ Cryptocurrency ที่ถูกกฎหมายเพื่อเผยแพร่ ImBetter Stealer

อาชญากรไซเบอร์กำลังใช้เว็บไซต์ฟิชชิ่งที่เลียนแบบกระเป๋าเงินดิจิตอลยอดนิยมและโปรแกรมแปลงไฟล์ออนไลน์เพื่อกำหนดเป้าหมายผู้ใช้ Windows เว็บไซต์ที่เป็นอันตรายเหล่านี้ได้รับการออกแบบมาเพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดมัลแวร์ขโมยข้อมูล ซึ่งสามารถประนีประนอมข้อมูลที่ละเอียดอ่อนได้

มัลแวร์ขโมยข้อมูล ImBetter ที่เพิ่งค้นพบมีความสามารถในการขโมยข้อมูลเบราว์เซอร์ที่เป็นความลับของเหยื่อ รวมถึงข้อมูลรับรองการเข้าสู่ระบบที่บันทึกไว้ คุกกี้ โปรไฟล์ผู้ใช้ และกระเป๋าเงินดิจิตอล นอกจากนี้ มัลแวร์ยังจับภาพหน้าจอของระบบของเหยื่อและส่งไปยังผู้โจมตี

ในทั้งสองกรณีของเว็บไซต์ฟิชชิง การโต้ตอบของผู้ใช้กับเว็บไซต์ เช่น การคลิกปุ่มหรือลิงก์บางปุ่ม จะทำให้เกิดกระบวนการติดไวรัส เมื่อติดตั้งมัลแวร์แล้ว มัลแวร์จะทำงานอย่างเงียบๆ ในเบื้องหลัง รวบรวมข้อมูลและส่งกลับไปยังผู้โจมตี

การโจมตีทางไซเบอร์ประเภทนี้มีอันตรายอย่างยิ่ง เนื่องจากสามารถตรวจจับไม่ได้เป็นระยะเวลานาน ทำให้ผู้โจมตีสามารถขโมยข้อมูลจำนวนมากได้

ความสามารถที่คุกคามของ ImBetter Stealer

มัลแวร์ขโมยข้อมูลจะตรวจสอบรหัส Language Code Identifier (LCID) ของระบบที่ติดไวรัสเพื่อระบุภาษาและภูมิภาค หากระบบเป็นของภูมิภาคใดๆ ที่เกี่ยวข้องกับภาษารัสเซีย รวมถึงคาซัค ตาตาร์ บัชคีร์ เบลารุส ยาคุต หรือรัสเซีย-มอลโดวา มัลแวร์จะยุติการทำงานเอง สิ่งนี้ชี้ให้เห็นว่าผู้โจมตีน่าจะพูดภาษารัสเซีย

หากระบบไม่ได้อยู่ในหนึ่งในภูมิภาคที่ระบุ มัลแวร์จะจับภาพหน้าจอของระบบและบันทึกลงในโฟลเดอร์ C:\Users\Public ด้วยชื่อไฟล์ 'Scr-urtydcfgads.png' ภาพหน้าจอจะถูกส่งไปยังเซิร์ฟเวอร์ Command and Control (C2, C&C)

เมื่อสร้างการเชื่อมต่อซ็อกเก็ตกับเซิร์ฟเวอร์ C&C แล้ว มัลแวร์ขโมยข้อมูลจะรวบรวมรายละเอียดต่างๆ เกี่ยวกับระบบที่ติดไวรัส ซึ่งรวมถึง ID ฮาร์ดแวร์, รายละเอียด GPU, ขนาด RAM ของระบบ, รายละเอียด CPU, รายละเอียดหน้าจอ และชื่อของไฟล์ปฏิบัติการมัลแวร์

มัลแวร์เก็บรายละเอียดระบบแต่ละรายการแยกเป็นสตริงคู่คีย์-ค่าในหน่วยความจำ จากนั้นสตริงนี้จะถูกเข้ารหัสโดยใช้รูปแบบ Base64 และส่งไปยังเซิร์ฟเวอร์ C&C ผ่านซ็อกเก็ตที่สร้างขึ้นในขั้นตอนก่อนหน้านี้

เมื่อ ImBetter แยกข้อมูลระบบเสร็จแล้ว มันจะตรวจหาแอปพลิเคชันเบราว์เซอร์ที่ติดตั้งบนอุปกรณ์ที่ติดไวรัส มัลแวร์มีความสามารถในการประนีประนอมมากกว่า 20 เบราว์เซอร์ที่แตกต่างกัน จากเบราว์เซอร์ที่มัลแวร์กำหนดเป้าหมาย ดูเหมือนว่าจะเน้นหนักไปที่เว็บเบราว์เซอร์ที่ใช้ Chromium นอกจากนี้ ImBetter Stealer ยังสามารถกำหนดเป้าหมายกระเป๋าเงิน cryptocurrency ได้เกือบ 70 ประเภท

ลักษณะการทำงานนี้แสดงให้เห็นถึงความสามารถขั้นสูงของมัลแวร์ขโมยข้อมูลและความซับซ้อนระดับสูงของผู้โจมตีที่อยู่เบื้องหลัง สิ่งสำคัญคือต้องระแวดระวังเมื่อท่องอินเทอร์เน็ต อัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอ และใช้ซอฟต์แวร์ป้องกันมัลแวร์เพื่อลดความเสี่ยงของการติดไวรัส