Korsan Yazılım Siteleri Tarafından Yayılan Yenilenmiş CryptBot Kötü Amaçlı Yazılımı
CryptBot bilgi hırsızının yeni bir sürümü, oyunlar ve profesyonel yazılımlar için ücretsiz crack indirmeleri sunan birden fazla web sitesi aracılığıyla dağıtımda görüldü.
CryptBot, kaydedilmiş tarayıcı kimlik bilgileri, çerezler, tarayıcı geçmişi, kripto para cüzdanları, kredi kartları ve dosyalar dahil olmak üzere virüslü cihazlardan bilgi çalan bir Windows kötü amaçlı yazılımıdır.
En son sürüm, yeni yetenekler ve optimizasyonlar sunarken, kötü amaçlı yazılım yazarları, araçlarını daha yalın ve daha verimli hale getirmek için birkaç eski işlevi de sildi.
Ahn Lab'deki güvenlik analistleri, tehdit aktörlerinin C2'lerini, dropper sitelerini ve kötü amaçlı yazılımın kendisini sürekli olarak yenilediğini bildirdi, bu nedenle CryptBot şu anda en çok değişen kötü amaçlı operasyonlardan biri.
Teslimat için arama sonuçlarını kullanma
Ahn Lab raporuna göre, CryptBot tehdit aktörleri, yazılım çatlakları, anahtar oluşturucular veya diğer yardımcı programlar sunuyormuş gibi davranan web siteleri aracılığıyla kötü amaçlı yazılım dağıtıyor.
Tehdit aktörleri, geniş bir görünürlük elde etmek için, kötü amaçlı yazılım dağıtım sitelerini Google arama sonuçlarının en üstünde sıralamak için arama motoru optimizasyonunu kullanır ve istikrarlı bir potansiyel kurban akışı sağlar.
Kötü amaçlı yazılım dağıtım sitelerinin paylaşılan ekran görüntülerine göre, tehdit aktörleri hem özel alan adlarını hem de Amazon AWS'de barındırılan web sitelerini kullanıyor.
Kötü amaçlı web siteleri sürekli olarak yenilenmektedir, bu nedenle kullanıcıları kötü amaçlı yazılım dağıtım sitelerine çekmek için sürekli değişen çok çeşitli cazibeler vardır.
Bu sitelerin ziyaretçileri, teslimat sayfasına ulaşmadan önce bir dizi yeniden yönlendirmeden geçirilir, bu nedenle açılış sayfası, SEO zehirlenmesi saldırıları için kötüye kullanılan güvenliği ihlal edilmiş meşru bir sitede olabilir.
Aynı kötü amaçlı yazılım operatörlerinin önceki yıllarda CryptBot'u kurbanlara ulaştırmak için sahte VPN siteleri kullandığını gördük, bu nedenle arama motorunun kötüye kullanılması yeni bir numara değil.
Özellikler kaldırıldı
CryptBot'un yeni örnekleri, yazarlarının işlevselliğini basitleştirmek ve kötü amaçlı yazılımı daha hafif, daha yalın ve algılanma olasılığını azaltmak istediğini gösteriyor.
Bu bağlamda, en yeni sürümde yalnızca anti-VM CPU çekirdek sayımı denetimi bırakılarak, korumalı alan karşıtı rutin kaldırılmıştır.
Ayrıca, yedekli ikinci C2 bağlantısı ve ikinci sızma klasörünün her ikisi de kaldırıldı ve yeni varyantta yalnızca tek bir bilgi çalan C2 bulunuyor.
ASEC'in raporu, "Kod, dosya gönderirken, gönderilen dosya verilerini başlığa manuel olarak ekleme yönteminin basit API kullanan yönteme değiştirildiğini gösteriyor. Gönderirken user-agent değeri de değiştirildi", diye açıklıyor ASEC'in raporu.
"Önceki sürüm, her birini farklı bir C2'ye göndermek için işlevi iki kez çağırır, ancak değiştirilen sürümde, işlevde bir C2 URL'si sabit kodlanmıştır."
CryptBot'un yazarlarının çöpe attığı bir başka özellik de ekran görüntüsü işlevi ve masaüstündeki TXT dosyalarında çok riskli olan ve muhtemelen sızma sırasında kolayca tespit edilen veri toplama seçeneğidir.
Tüm Chrome sürümlerinde çalışır
Öte yandan, CryptBot'un en son sürümü, onu çok daha güçlü hale getiren bazı hedefli eklemeler ve iyileştirmeler getiriyor.
Önceki sürümlerde, kötü amaçlı yazılım yalnızca 81 ile 95 arasındaki Chrome sürümlerine dağıtıldığında verileri başarıyla sızdırabiliyordu.
Bu sınırlama, sabit dosya yollarında kullanıcı verilerini arayan bir sistemin uygulanmasından kaynaklandı ve yollar farklıysa, kötü amaçlı yazılım bir hata verdi.
Artık tüm dosya yollarında arama yapıyor ve herhangi bir yerde kullanıcı verileri bulunursa, Chrome sürümünden bağımsız olarak bunları sızdırıyor.
Google'ın chrome 96'yı Kasım 2021'de piyasaya sürdüğü göz önüne alındığında, CryptBot yaklaşık üç ay boyunca hedeflerinin çoğuna karşı etkisiz kaldı, bu nedenle operatörleri için bu sorunu çözmek için çok geç kaldı.
CryptBot öncelikli olarak yazılım crackleri, warezler ve telif hakkı korumasını ortadan kaldırmanın diğer yöntemlerini arayan kişileri hedef aldığından, bu araçların indirilmesinden kaçınmak, bu kötü amaçlı yazılımın ve diğer birçok kötü amaçlı yazılımın bulaşmasını önleyecektir.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.