【安全资讯】CryptBot信息窃取器正在持续更新
引言
CryptBot是一种信息窃取程序,通过伪装成破解软件下载页面的恶意网站进行传播,可以从受感染的设备中窃取信息。2月21日,研究人员发布报告称,CryptBot的 C2、分发页面和恶意软件本身都在持续更新,攻击者添加了新功能并对恶意软件进行了优化,还删除了几个旧功能,以使CryptBot更精简、更高效。
简况
CryptBot 是一种 Windows 恶意软件,可以窃取信息受害者的浏览器凭据、cookie、浏览器历史记录、加密货币钱包、信用卡和文件。CryptBot攻击者通过伪造的提供破解软件、密钥生成器或其他实用程序的网站分发恶意软件,并利用搜索引擎优化将恶意软件分发站点排名展示在谷歌搜索结果的顶部,从而提供稳定的潜在受害者流。
恶意网站不断更新,攻击者利用多种多样变化的诱饵将用户吸引到恶意软件分发站点。当用户在恶意网站的帖子中点击下载按钮时,用户会被多次重定向,最终重定向到分发页面。最近用于分发CryptoBot的一些网站如下图:
除了分发页面外,CryptBot 本身也在积极变化,最近正在分发一个经过大规模修改的新版本。与之前的版本相比,新版本删除了一些附加功能,并修改了信息窃取代码以适应新的浏览器环境。
首先,新版本删除了反沙盒例程,仅在最新版本中保留了反虚拟机 CPU 内核计数检查。此外,冗余的 C2 连接和外泄文件夹均已被删除,新变体仅具有单个信息窃取 C2。在发送文件时,手动将发送的文件数据添加到 header 的方法已更改为使用简单 API 的方法。发送时的 user-agent 值也被修改。CryptBot 的开发者放弃的另一个功能是屏幕截图功能和在桌面上收集 TXT 文件数据的功能,这些功能风险太大,在渗透过程中很容易被发现。
此外,最新版本的 CryptBot具备一些有针对性的添加和改进。在以前的版本中,该恶意软件只针对 81 到 95 之间的 Chrome 版本,新版本的恶意软件搜索所有文件路径,不限制Chrome 版本。
总结
由于 CryptBot 主要针对搜索破解软件的用户,因此只需避免下载来自不安全来源的工具即可防止被CryptBot恶意软件感染。