Los actores de amenazas enmascaran el malware CryptBot con grietas para nuevos juegos y software de nivel profesional.
Los investigadores de ciberseguridad de Ahn Lab descubrieron una nueva campaña para distribuir CryptBot, un ladrón de información capaz de exfiltrar contraseñas guardadas del navegador, cookies, historial del navegador, datos de billetera criptográfica, información de tarjetas de crédito y archivos, desde puntos finales comprometidos.
La campaña gira en torno a la creación de varios sitios web que promocionan cracks para juegos y software de computadora de nivel profesional. Estos sitios web y páginas de destino están correctamente optimizados para los motores de búsqueda, y ocupan un lugar bastante alto en las páginas de resultados de los motores de búsqueda (SERP) para todos los términos correctos.
Malware más ligero
Además, los atacantes utilizan tanto dominios personalizados como sitios alojados en AWS y, en algunos casos, redirigen a los visitantes varias veces antes de llevarlos a la página de entrega. Esto significa que la propia página de destino podría estar en un sitio legítimo pero comprometido.
El malware en sí también ha sufrido una serie de cambios significativos. Los investigadores dicen que el programa se adelgazó y perdió algunas funciones para ocultarlo mejor y distribuirlo más fácilmente.
Dicho esto, se eliminó la rutina anti-sandbox, junto con la capacidad de tomar capturas de pantalla. El malware ya no puede recopilar datos de archivos TXT en el escritorio y ya no tiene la segunda carpeta de inicio de sesión y exfiltración C2. La última versión del malware solo tiene verificación de recuento de núcleos de CPU anti-VM y un único ladrón de información C2.
Al mismo tiempo, los atacantes parecen actualizar "constantemente" sus sitios C2 y drop, según los investigadores.
“El código muestra que al enviar archivos, el método de agregar manualmente datos del archivo enviado al encabezado ha sido reemplazado por el método que usa una API simple. También se ha cambiado el valor del agente de usuario al momento de enviar”, el dijeron los investigadores en una publicación de blog.
"La versión anterior llama a la función dos veces para enviar cada uno a un C2 diferente, pero en la versión modificada, una URL de C2 está codificada en la función".
La nueva variante también parece funcionar bien en todas las versiones de Chrome, mientras que las antiguas solo funcionaban en Chrome 81 - 95.
Vía: BleepingComputer