El ladrón de información CryptBot ha sido modificado y propagado a través de sitios web que ofrecen software pirateado o no oficial. Los operadores actualizan continuamente su C2, sitios cuentagotas y malware, afirma un informe. Los operadores de CryptBot están utilizando la optimización de motores de búsqueda (conocido como SEO) para clasificar los sitios de […]
El ladrón de información CryptBot ha sido modificado y propagado a través de sitios web que ofrecen software pirateado o no oficial.
Los operadores actualizan continuamente su C2, sitios cuentagotas y malware, afirma un informe.
Los operadores de CryptBot están utilizando la optimización de motores de búsqueda (conocido como SEO) para clasificar los sitios de distribución y mostrarlos en la parte superior de los resultados de búsqueda de Google, lo que aumenta las posibilidades de infección.
Basado en capturas de pantalla compartidas de los sitios de distribución, se descubrió que los atacantes están utilizando dominios personalizados o sitios web alojados en Amazon AWS.
Estos sitios web maliciosos tienen una amplia variedad de señuelos para atraer a los usuarios a los sitios de distribución del malware, por lo que los visitantes enfrentan múltiples redirecciones y terminan en una página de entrega de malware, que podría ser un sitio comprometido por ataques de envenenamiento de SEO.
Muestras recientes de CryptBot revelaron que la nueva versión es más liviana y tiene mayores posibilidades de evitar la detección. La versión más reciente tiene un registro de recuento de núcleos de CPU anti-VM.
En esta lína, los autores quieren simplificar la funcionalidad del troyano y, por lo tanto, eliminaron la rutina anti-sandbox, la segunda conexión C2 redundante y dos carpetas de exfiltración donde se almacena la información robada.
El código muestra que al enviar archivos, la táctica de agregar manualmente los datos del archivo enviado al encabezado ahora se cambia a usar una API simple, junto con un cambio en un valor de agente de usuario.
La versión anterior llamó a la función dos veces para enviar cada uno a un C2 diferente. Sin embargo, la nueva versión tiene una URL C2 codificada en la función.
Además, los autores de CryptBot eliminaron la función de captura de pantalla y la opción de recopilar datos en archivos TXT en el escritorio, lo que podría notarse fácilmente durante la exfiltración.
La nueva cepa ha realizado adiciones y mejoras específicas para una mayor eficacia. Ahora, busca todas las rutas de archivos, datos de usuario en cualquier lugar y los infiltra independientemente de la versión de Chrome.
En resumen…
CryptBot solo se dirige a aquellos que buscan software falso o pirateado en sitios maliciosos. Por lo tanto, se recomienda NO descargar software pirateado y cracks, sobre todo porque provienen de sitios dudosos.
Artículos relacionados
Aumenta el número de ataques de phishing a través de Linkedin
22 de febrero de 2022La red social laboral se está volviendo popular entre los actores de amenazas para ejecutar ataques phishing. Con la intención de robar datos personales y cometer fraudes, ciberdelincuentes están utilizando temáticas para engañar a los usuarios con distintos señuelos de trabajo que se distribuyen por correo electrónico, SMS o mensajes instantáneos de la red.
El troyano Xenomorph se propaga a través de Play Store
23 de febrero de 2022Investigadores observaron que un troyano bancario de Android, conocido como Xenomorph, se está propagando utilizando la tienda oficial de Google Play. El troyano ya apuntó a 56 bancos europeos y recopiló información confidencial.
