ImBetter Stealer

ImBetter є загрозливим програмним забезпеченням, призначеним для викрадення конфіденційної інформації з комп’ютерних систем і встановлених програм. Це зловмисне програмне забезпечення здатне видобувати широкий спектр особистих і конфіденційних даних, таких як паролі, облікові дані для входу, дані кредитних карток та інші конфіденційні дані, які можуть бути використані для шахрайських дій. Подробиці про ланцюг атак і можливості загрози були оприлюднені у звіті дослідників кібербезпеки Cyble Research and Intelligence Labs.

Зловмисники імітують законні криптовалютні веб-сайти, щоб розповсюдити ImBetter Stealer

Кіберзлочинці використовують фішингові веб-сайти, які імітують популярні криптовалютні гаманці та онлайн-конвертери файлів, щоб націлитися на користувачів Windows. Ці шкідливі веб-сайти створені, щоб обманом змусити користувачів завантажити зловмисне програмне забезпечення для крадіжки інформації, яке може скомпрометувати їхні конфіденційні дані.

Нещодавно виявлена шкідлива програма для крадіжки інформації ImBetter здатна викрадати конфіденційні дані браузера жертв, включаючи збережені облікові дані для входу, файли cookie, профілі користувачів і гаманці криптовалюти. Крім того, зловмисне програмне забезпечення робить скріншоти системи жертви та надсилає їх зловмисникам.

В обох випадках фішингових веб-сайтів взаємодія користувача з веб-сайтом, наприклад натискання певних кнопок або посилань, запускає процес зараження. Після встановлення зловмисного програмного забезпечення воно працює безшумно у фоновому режимі, збираючи дані та надсилаючи їх назад зловмисникам.

Цей тип кібератак є особливо небезпечним, оскільки він може залишатися непоміченим протягом тривалого часу, дозволяючи зловмисникам викрасти значні обсяги даних.

Загрозливі можливості ImBetter Stealer

Зловмисне програмне забезпечення для крадіжки інформації перевіряє код ідентифікатора коду мови (LCID) зараженої системи, щоб визначити мову та регіон. Якщо система належить до будь-якого з регіонів, пов’язаних з російською мовою, включаючи казахську, татарську, башкирську, білоруську, якутську чи російсько-молдовську, шкідливе ПЗ припиняє роботу. Це говорить про те, що зловмисники, ймовірно, російськомовні.

Якщо система не належить до одного з визначених регіонів, зловмисне програмне забезпечення робить знімок екрана системи та зберігає його в папці C:\Users\Public під назвою «Scr-urtydcfgads.png». Потім знімок екрана надсилається на сервер керування (C2, C&C).

Після встановлення сокет-з’єднання з C&C-сервером зловмисне програмне забезпечення, що викрадає інформацію, збирає різні відомості про заражену систему. Це включає ідентифікатор апаратного забезпечення, відомості про графічний процесор, розмір системної оперативної пам’яті, дані про процесор, відомості про екран і назву виконуваного файлу зловмисного програмного забезпечення.

Зловмисне програмне забезпечення зберігає кожну деталь системи окремо як рядок пари ключ-значення в пам’яті. Потім цей рядок кодується у форматі Base64 і передається на сервер C&C через сокет, який було встановлено на попередньому етапі.

Після того, як ImBetter завершить видобування системної інформації, він перевірить наявність браузерних програм, встановлених на зараженому пристрої. Зловмисне програмне забезпечення здатне зламати понад 20 різних браузерів. Виходячи з браузерів, на які зловмисне програмне забезпечення націлено, воно зосереджено на веб-браузерах на базі Chromium. Крім того, ImBetter Stealer здатний націлити майже на 70 різних типів гаманців криптовалюти.

Така поведінка демонструє розширені можливості зловмисного ПЗ, що викрадає інформацію, і високий рівень досвідченості зловмисників, які стоять за ним. Важливо залишатися пильним під час перегляду веб-сторінок, оновлювати програмне забезпечення та використовувати програмне забезпечення для захисту від шкідливих програм, щоб зменшити ризик зараження.