Analistas de segurança do Ahn Lab relataram que o Malware CryptBot renovado está sendo distribuído em sites de software pirata.
O CryptBot é um malware do Windows que rouba informações de dispositivos infectados, incluindo credenciais de navegador salvas, cookies, histórico do navegador, carteiras de criptomoedas, cartões de crédito e arquivos.
Agora, uma nova versão do ladrão de informações CryptBot foi vista em distribuição através de vários sites que oferecem downloads gratuitos de cracks para jogos e software de nível profissional.
CryptBot renovado está sendo distribuído em sites de software pirata
A versão mais recente apresenta novos recursos e otimizações, enquanto os autores do malware também excluíram várias funções mais antigas para tornar sua ferramenta mais enxuta e eficiente.
Analistas de segurança do Ahn Lab relataram que os agentes de ameaças estão constantemente atualizando seus C2, sites dropper e o próprio malware, então o CryptBot é atualmente uma das operações maliciosas mais mutáveis.
De acordo com o relatório do Ahn Lab, os agentes de ameaças do CryptBot distribuem malware por meio de sites que fingem oferecer cracks de software, geradores de chaves ou outros utilitários.
Para obter ampla visibilidade, os agentes de ameaças utilizam a otimização do mecanismo de pesquisa para classificar os sites de distribuição de malware no topo dos resultados de pesquisa do Google, fornecendo um fluxo estável de possíveis vítimas.
De acordo com as capturas de tela compartilhadas dos sites de distribuição de malware, os agentes de ameaças usam domínios personalizados ou sites hospedados na Amazon AWS.
Os sites maliciosos são constantemente atualizados, então há uma grande variedade de iscas em constante mudança para atrair usuários para os sites de distribuição de malware.
Os visitantes desses sites são levados por uma série de redirecionamentos antes de chegarem à página de entrega, de modo que a página de destino pode estar em um site legítimo comprometido e abusado por ataques de envenenamento de SEO.
Operadores de malware usando sites VPN falsos para entregar o CryptBot às vítimas já aconteceu em anos anteriores, então o abuso do mecanismo de pesquisa não é um truque novo.
Amostras recentes do CryptBot indicam que seus autores desejam simplificar sua funcionalidade e tornar o malware mais leve, enxuto e menos provável de ser detectado.
Nesse contexto, a rotina anti-sandbox foi removida, deixando apenas a verificação de contagem de núcleos de CPU anti-VM na versão mais recente.
Além disso, a segunda conexão C2 redundante e a segunda pasta de exfiltração foram removidas, e a nova variante apresenta apenas um único C2 de roubo de informações.
“O código mostra que ao enviar arquivos, o método de adicionar manualmente os dados do arquivo enviado ao cabeçalho foi alterado para o método que usa API simples. O valor do user-agent no envio também foi modificado”, explica o relatório da ASEC
“A versão anterior chama a função duas vezes para enviar cada uma para um C2 diferente, mas na versão alterada, um URL C2 é codificado na função.”
Outro recurso que os autores do CryptBot descartaram é a função de captura de tela e a opção de coletar dados em arquivos TXT na área de trabalho, que eram muito arriscados e talvez facilmente detectados durante a exfiltração.
Por outro lado, a versão mais recente do CryptBot traz algumas adições e melhorias direcionadas que o tornam muito mais potente.
Nas versões anteriores, o malware só conseguia exfiltrar dados com sucesso quando implantado nas versões do Chrome entre 81 e 95.
Essa limitação surgiu da implementação de um sistema que buscava dados do usuário em caminhos de arquivos fixos e, se os caminhos fossem diferentes, o malware retornava um erro.
Agora, ele pesquisa em todos os caminhos de arquivo e, se os dados do usuário forem encontrados em qualquer lugar, ele os exfiltra, independentemente da versão do Chrome.
Considerando que o Google lançou o chrome 96 em novembro de 2021, o CryptBot permaneceu ineficaz contra a maioria de seus alvos por aproximadamente três meses, portanto, a correção desse problema estava atrasada para seus operadores.
Como o CryptBot tem como alvo principalmente pessoas que procuram cracks de software, warez e outros métodos para derrotar a proteção de direitos autorais, simplesmente evitar o download dessas ferramentas impedirá a infecção por esse malware e muitos outros.