ImBetter Stealer

ImBetter, bilgisayar sistemlerinden ve yüklü uygulamalardan hassas bilgileri çalmak için tasarlanmış tehdit edici bir yazılımdır. Bu kötü amaçlı yazılım, parolalar, oturum açma kimlik bilgileri, kredi kartı bilgileri ve dolandırıcılık faaliyetleri için kullanılabilecek diğer hassas veriler gibi çok çeşitli kişisel ve gizli verileri ayıklama yeteneğine sahiptir. Saldırı zinciri ve tehdidin yetenekleriyle ilgili ayrıntılar, Cyble Research and Intelligence Labs'deki siber güvenlik araştırmacıları tarafından hazırlanan bir raporda yayınlandı.

Tehdit Aktörleri, ImBetter Stealer'ı Yaymak İçin Yasal Kripto Para Birimi Web Sitelerini Taklit Ediyor

Siber suçlular, Windows kullanıcılarını hedeflemek için popüler kripto para cüzdanlarını ve çevrimiçi dosya dönüştürücülerini taklit eden kimlik avı web sitelerini kullanıyor. Bu kötü amaçlı web siteleri, kullanıcıları, hassas verilerini tehlikeye atabilecek bilgi çalan kötü amaçlı yazılımları indirmeleri için kandırmak üzere tasarlanmıştır.

Yeni keşfedilen ImBetter bilgi çalan kötü amaçlı yazılım, kurbanların kayıtlı oturum açma kimlik bilgileri, çerezler, kullanıcı profilleri ve kripto para cüzdanları dahil olmak üzere gizli tarayıcı verilerini çalabilir. Ek olarak, kötü amaçlı yazılım kurbanın sisteminin ekran görüntülerini alır ve bunları saldırganlara gönderir.

Her iki kimlik avı web sitesinde de, kullanıcının belirli düğmelere veya bağlantılara tıklamak gibi web sitesiyle etkileşimi, bulaşma sürecini tetikler. Kötü amaçlı yazılım yüklendikten sonra arka planda sessizce çalışır, verileri toplar ve saldırganlara geri gönderir.

Bu tür siber saldırılar özellikle tehlikelidir çünkü uzun süre fark edilmeden kalabilir ve saldırganların önemli miktarda veri çalmasına neden olabilir.

ImBetter Stealer'ın Tehdit Edici Yetenekleri

Bilgi çalan kötü amaçlı yazılım, dili ve bölgeyi belirlemek için virüslü sistemin Dil Kodu Tanımlayıcısı (LCID) kodunu inceler. Sistem, Kazakça, Tatarca, Başkurtça, Belarusça, Yakutca veya Rusça-Moldova dahil olmak üzere Rus diliyle ilişkili bölgelerden herhangi birine aitse, kötü amaçlı yazılım kendi kendini sonlandırır. Bu, saldırganların muhtemelen Rusça konuşanlar olduğunu gösteriyor.

Sistem tanımlanan bölgelerden birine ait değilse, kötü amaçlı yazılım sistemin ekran görüntüsünü alır ve bunu 'Scr-urtydcfgads.png' dosya adıyla C:\Users\Public klasörüne kaydeder. Ekran görüntüsü daha sonra Komuta ve Kontrol (C2, C&C) sunucusuna gönderilir.

C&C sunucusuna bir soket bağlantısı kurulduğunda, bilgi çalan kötü amaçlı yazılım, virüs bulaşmış sistem hakkında çeşitli ayrıntıları toplar. Buna donanım kimliği, GPU ayrıntıları, sistem RAM boyutu, CPU ayrıntıları, ekran ayrıntıları ve kötü amaçlı yürütülebilir dosyanın adı dahildir.

Kötü amaçlı yazılım, her bir sistem detayını bellekte bir anahtar-değer çifti dizisi olarak ayrı ayrı depolar. Bu dizi daha sonra Base64 formatı kullanılarak kodlanır ve daha önceki bir aşamada kurulan soket üzerinden C&C sunucusuna iletilir.

ImBetter sistem bilgilerini çıkarmayı bitirdiğinde, virüslü cihazda yüklü tarayıcı uygulamalarını kontrol eder. Kötü amaçlı yazılım, 20'den fazla farklı tarayıcıyı tehlikeye atabilir. Kötü amaçlı yazılımın hedeflediği tarayıcılara bakıldığında, ağırlıklı olarak Chromium tabanlı web tarayıcılarına odaklandığı görülüyor. Ek olarak, ImBetter Stealer yaklaşık 70 farklı türde kripto para cüzdanını hedefleyebilir.

Bu davranış, bilgi çalan kötü amaçlı yazılımın gelişmiş yeteneklerini ve arkasındaki saldırganların yüksek düzeyde karmaşıklığını gösterir. İnternette gezinirken dikkatli olmak, yazılımı güncel tutmak ve kötü amaçlı yazılımdan koruma yazılımı kullanmak bulaşma riskini azaltmak için çok önemlidir.