ImBetter Stealer

ImBetter 是一种威胁软件，旨在从计算机系统和已安装的应用程序中窃取敏感信息。该恶意软件能够提取范围广泛的个人和机密数据，例如密码、登录凭据、信用卡信息和其他可用于欺诈活动的敏感数据。 Cyble Research and Intelligence Labs 的网络安全研究人员在一份报告中发布了有关攻击链和威胁能力的详细信息。

威胁行为者模仿合法的加密货币网站来传播 ImBetter 窃取者

网络犯罪分子正在使用模仿流行的加密货币钱包和在线文件转换器的网络钓鱼网站来瞄准 Windows 用户。这些恶意网站旨在诱骗用户下载信息窃取恶意软件，这可能会危及他们的敏感数据。

新发现的 ImBetter 信息窃取恶意软件能够窃取受害者的机密浏览器数据，包括保存的登录凭据、cookie、用户配置文件和加密货币钱包。此外，恶意软件还会截取受害者系统的屏幕截图并将其发送给攻击者。

在这两种网络钓鱼网站中，用户与网站的交互（例如单击某些按钮或链接）都会触发感染过程。安装恶意软件后，它会在后台静默运行，收集数据并将其发回给攻击者。

这种类型的网络攻击特别危险，因为它可能会长时间未被发现，从而使攻击者能够窃取大量数据。

ImBetter 窃取者的威胁能力

信息窃取恶意软件检查受感染系统的语言代码标识符 (LCID) 代码以确定语言和区域。如果系统属于与俄语相关的任何地区，包括哈萨克语、鞑靼语、巴什基尔语、白俄罗斯语、雅库特语或俄语-摩尔多瓦语，则恶意软件会自行终止。这表明攻击者很可能是说俄语的人。

如果系统不属于识别出的区域之一，恶意软件就会截取系统的屏幕截图并将其保存在 C:\Users\Public 文件夹中，文件名为“Scr-urtydcfgads.png”。然后将屏幕截图发送到命令和控制（C2、C&C）服务器。

一旦与 C&C 服务器建立了套接字连接，信息窃取恶意软件就会收集有关受感染系统的各种详细信息。这包括硬件 ID、GPU 详细信息、系统 RAM 大小、CPU 详细信息、屏幕详细信息和恶意软件可执行文件的名称。

恶意软件将每个系统详细信息作为键值对字符串分别存储在内存中。然后将此字符串使用 Base64 格式进行编码，并通过前期建立的套接字传输到 C&C 服务器。

一旦 ImBetter 完成提取系统信息，它就会检查受感染设备上是否安装了浏览器应用程序。该恶意软件能够危害 20 多种不同的浏览器。根据恶意软件针对的浏览器，它似乎主要关注基于 Chromium 的网络浏览器。此外，ImBetter Stealer 能够针对近 70 种不同类型的加密货币钱包。

这种行为展示了信息窃取恶意软件的高级功能及其背后的攻击者的高水平。在浏览互联网时保持警惕、保持软件为最新版本并使用反恶意软件来降低感染风险至关重要。