ImBetter Stealer

ImBetter là phần mềm đe dọa được thiết kế để đánh cắp thông tin nhạy cảm từ hệ thống máy tính và các ứng dụng đã cài đặt. Phần mềm độc hại này có khả năng trích xuất nhiều loại dữ liệu cá nhân và bí mật, chẳng hạn như mật khẩu, thông tin đăng nhập, thông tin thẻ tín dụng và các dữ liệu nhạy cảm khác có thể được sử dụng cho các hoạt động lừa đảo. Thông tin chi tiết về chuỗi tấn công và khả năng của mối đe dọa đã được công bố trong một báo cáo của các nhà nghiên cứu an ninh mạng tại Cyble Research and Intelligence Labs.

Các tác nhân đe dọa bắt chước các trang web tiền điện tử hợp pháp để truyền bá kẻ đánh cắp ImBetter

Tội phạm mạng đang sử dụng các trang web lừa đảo bắt chước ví tiền điện tử phổ biến và trình chuyển đổi tệp trực tuyến để nhắm mục tiêu người dùng Windows. Các trang web độc hại này được thiết kế để lừa người dùng tải xuống phần mềm độc hại đánh cắp thông tin, phần mềm độc hại này có thể xâm phạm dữ liệu nhạy cảm của họ.

Phần mềm độc hại đánh cắp thông tin ImBetter mới được phát hiện có khả năng đánh cắp dữ liệu trình duyệt bí mật của nạn nhân, bao gồm thông tin đăng nhập đã lưu, cookie, hồ sơ người dùng và ví tiền điện tử. Ngoài ra, phần mềm độc hại chụp ảnh màn hình hệ thống của nạn nhân và gửi chúng cho những kẻ tấn công.

Trong cả hai trường hợp trang web lừa đảo, tương tác của người dùng với trang web, chẳng hạn như nhấp vào các nút hoặc liên kết nhất định, sẽ kích hoạt quá trình lây nhiễm. Sau khi phần mềm độc hại được cài đặt, nó sẽ hoạt động âm thầm trong nền, thu thập dữ liệu và gửi lại cho những kẻ tấn công.

Kiểu tấn công mạng này đặc biệt nguy hiểm vì nó có thể không bị phát hiện trong thời gian dài, cho phép kẻ tấn công đánh cắp lượng dữ liệu đáng kể.

Khả năng đe dọa của ImBetter Stealer

Phần mềm độc hại đánh cắp thông tin kiểm tra mã Mã định danh ngôn ngữ (LCID) của hệ thống bị nhiễm để xác định ngôn ngữ và khu vực. Nếu hệ thống thuộc về bất kỳ khu vực nào liên quan đến ngôn ngữ Nga, bao gồm tiếng Kazakh, Tatar, Bashkir, Belarusian, Yakut hoặc Russian-Moldova, thì phần mềm độc hại sẽ tự chấm dứt. Điều này cho thấy những kẻ tấn công có khả năng là người nói tiếng Nga.

Nếu hệ thống không thuộc về một trong các vùng được xác định, phần mềm độc hại sẽ chụp ảnh màn hình của hệ thống và lưu nó vào thư mục C:\Users\Public với tên tệp 'Scr-urtydcfgads.png.' Ảnh chụp màn hình sau đó được gửi đến máy chủ Lệnh và Điều khiển (C2, C&C).

Sau khi kết nối ổ cắm được thiết lập với máy chủ C&C, phần mềm độc hại đánh cắp thông tin sẽ thu thập nhiều chi tiết khác nhau về hệ thống bị nhiễm. Điều này bao gồm ID phần cứng, chi tiết GPU, kích thước RAM hệ thống, chi tiết CPU, chi tiết màn hình và tên của phần mềm độc hại có thể thực thi.

Phần mềm độc hại lưu trữ riêng từng chi tiết hệ thống dưới dạng chuỗi cặp khóa-giá trị trong bộ nhớ. Chuỗi này sau đó được mã hóa bằng định dạng Base64 và được truyền đến máy chủ C&C qua ổ cắm đã được thiết lập ở giai đoạn trước.

Khi ImBetter đã hoàn tất việc trích xuất thông tin hệ thống, nó sẽ kiểm tra các ứng dụng trình duyệt được cài đặt trên thiết bị bị nhiễm. Phần mềm độc hại có khả năng xâm phạm hơn 20 trình duyệt khác nhau. Dựa trên các trình duyệt mà phần mềm độc hại nhắm mục tiêu, nó dường như tập trung nhiều vào các trình duyệt web dựa trên Chromium. Ngoài ra, ImBetter Stealer có khả năng nhắm mục tiêu gần 70 loại ví tiền điện tử khác nhau.

Hành vi này thể hiện khả năng tiên tiến của phần mềm độc hại đánh cắp thông tin và mức độ tinh vi cao của những kẻ tấn công đằng sau nó. Điều cốt yếu là luôn cảnh giác khi duyệt internet, luôn cập nhật phần mềm và sử dụng phần mềm chống phần mềm độc hại để giảm nguy cơ lây nhiễm.