Imagem: Tecmasters

Uma nova versão do malware para Windows CryptBot tem sido identificado em campanhas de distribuição em vários sites para download de jogos e softwares profissionais crackeados. De acordo com pesquisadores da Ahn Lab, os atores da ameaça estão atualizando constantemente os servidores C2, sites dropper e o próprio malware, portanto, uma das operações maliciosas mais mutáveis atualmente.

Na versão mais recente, os autores do malware eliminaram várias funções antigas para tornar o software mais enxuto e eficiente, incluindo novas capacidades e otimizações. Uma delas é a utilização da otimização dos mecanismos de busca para ganhar ampla visibilidade, classificando os sites de distribuição de malware no topo dos resultados de busca do Google.

Capturas em sites de distribuição do malware mostram que os atores da ameaça usam tanto domínios personalizados quanto sites hospedados no servidor da AWS, da Amazon.

CryptBot: nova versão do malware espalha-se por sites de jogos e softwares piratas e mira usuários do Chrome

Imagem: Ahn Lab

Por estar em constante atualização, a variedade de atrativos sempre mudam para atrair os usuários aos sites de distribuição do malware. Antes de terminarem na página destino, que pode ser um site legítimo comprometido e abusado por ataques de envenenamento por SEO, os visitantes dos endereços de distribuição do software passam por uma série redirecionamentos.

De acordo com os pesquisadores, o abuso dos mecanismos de busca não é novo: no passado, operadores do CryptBot já foram vistos usando sites de VPN falsos para entregar o malware.

Mais leve e menos suscetível à detecção

Além de simplificar a funcionalidade do malware, os operadores tentam torná-lo ainda mais enxuto e leve, além de menos suscetível à detecção. Na versão mais recente, por exemplo, foram removidas a rotina anti-sandbox, a segunda conexão aos servidores C2 redundante e a segunda pasta de exfiltração, mantendo apenas a verificação da contagem do núcleo da CPU anti-VM e um único C2 de sequestro de informações. “A versão anterior chama a função duas vezes para enviar cada uma para um C2 diferente, mas na versão alterada, uma URL C2 é codificada na função”, diz o relatório da ASEC.

“O código mostra que ao enviar arquivos, o método de adicionar manualmente os dados do arquivo enviado ao cabeçalho foi alterado para o método que usa API simples. O valor do agente de usuário para envio também foi modificado”, adiciona o relatório da ASEC.

A função de captura de tela e a opção de coleta de dados em arquivos TXT na área de trabalho — provavelmente facilmente detectados durante a exfiltração — também foram removidos na versão mais recente.

Roda em todas as versões do Chrome

Além de mais leve e mais silencioso à detecção, o CryptBot também se tornou mais potente ultimamente.

Em versões anteriores, a exfiltração de dados só funcionava quando implantado contra versões 81 e 95 do navegador Chrome. Essa limitação estava atrelada a um sistema que procurava dados do usuário em caminhos de arquivos fixos, caso esses fossem diferentes, o malware retornava um erro.

CryptBot: nova versão do malware espalha-se por sites de jogos e softwares piratas e mira usuários do Chrome

Imagem: ASEC

Agora, a nova versão do CryptBot varre todos os caminhos de arquivos e é capaz de exfiltrar os dados em qualquer lugar, independentemente da versão do browser do Google.

Em três meses atrasada, a atualização do malware fez com que o malware permanecesse ineficaz para a maioria dos seus alvos, visto que o Google lançou a versão 96 em novembro de 2021.

Para evitar a infecção por CryptBot, fuja dos softwares crackeados e outros métodos para burlar a proteção de direitos autorais, já que o malware visa exatamente esse perfil de usuário.

 

Via BleepingComputer

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado.