Versi baru dari pencuri info CryptBot terlihat didistribusikan melalui beberapa situs web yang menawarkan unduhan gratis untuk game dan perangkat lunak kelas pro.
CryptBot adalah malware Windows yang mencuri informasi dari perangkat yang terinfeksi, termasuk kredensial browser yang disimpan, cookie, riwayat browser, dompet cryptocurrency, kartu kredit, dan file.
Analis keamanan di Ahn Lab melaporkan pelaku ancaman CryptBot mendistribusikan malware melalui situs web yang berpura-pura menawarkan celah perangkat lunak, generator kunci, atau utilitas lainnya.
Untuk mendapatkan visibilitas yang luas, para pelaku ancaman memanfaatkan optimisasi mesin pencari untuk menentukan peringkat situs distribusi malware di bagian atas hasil pencarian Google, memberikan aliran calon korban yang stabil.
Menurut tangkapan layar yang dibagikan dari situs distribusi malware, pelaku ancaman menggunakan domain khusus atau situs web yang dihosting di Amazon AWS.
Sumber: Ahn Lab
Pengunjung situs ini dibawa melalui serangkaian pengalihan sebelum mereka berakhir di halaman pengiriman, sehingga halaman arahan bisa berada di situs sah yang disusupi yang disalahgunakan untuk serangan keracunan SEO.
Sampel baru CryptBot menunjukkan bahwa pembuatnya ingin menyederhanakan fungsinya dan membuat malware lebih ringan, lebih ramping, dan kecil kemungkinannya untuk dideteksi.
Dalam konteks ini, rutinitas anti-kotak pasir telah dihapus, hanya menyisakan pemeriksaan jumlah inti CPU anti-VM di versi terbaru.
Juga, koneksi C2 kedua yang berlebihan dan folder eksfiltrasi kedua keduanya dihapus, dan varian baru hanya menampilkan C2 pencuri info tunggal.
Fitur lain yang telah dihapus oleh penulis CryptBot adalah fungsi tangkapan layar dan opsi untuk mengumpulkan data pada file TXT di desktop, yang terlalu berisiko dan mungkin mudah dideteksi selama eksfiltrasi.
Di sisi lain, versi terbaru CryptBot membawa beberapa tambahan dan peningkatan yang ditargetkan yang membuatnya jauh lebih kuat.
Pada versi sebelumnya, malware hanya dapat berhasil mengekstrak data saat diterapkan pada Chrome versi antara 81 dan 95.
Keterbatasan ini muncul dari penerapan sistem yang mencari data pengguna di jalur file tetap, dan jika jalurnya berbeda, malware mengembalikan kesalahan.
Sekarang, ia mencari di semua jalur file, dan jika data pengguna ditemukan di mana saja, ia akan mengekstraknya terlepas dari versi Chrome.
Mempertimbangkan bahwa Google meluncurkan chrome 96 pada November 2021, CryptBot tetap tidak efektif terhadap sebagian besar targetnya selama kira-kira tiga bulan, jadi memperbaiki masalah ini sudah terlambat bagi operatornya.
Sumber : Bleeping Computer
