CryptBot - это продвинутый стиллер, нацеленный на Windows и распространяемый через пиратские сайты со "взломанным" программным обеспечением. Впервые он был замечен в дикой природе в 2019 году.
Что такое вредоносное ПО CryptBot
CryptBot, первоначально обнаруженный в 2019 году, является похитителем информации, предназначенным для компрометации операционных систем Windows.
Его основная цель - утечка конфиденциальных данных с зараженных машин, таких как:
- учетные данные браузера
- данные криптовалютного кошелька
- куки браузера
- данные кредитных карт
- и системные скриншоты.
Основными каналами распространения CryptoBot являются рассылка писем и незаконные взломы программного обеспечения.
CryptoBot - относительно современная вредоносная программа. Однако его авторы постоянно совершенствуют угрозу, что усложняет ее обнаружение. Примерно в феврале 2022 года исследователи начали замечать, что авторы угрозы упростили функциональность CryptoBot, сделав его более легким, компактным и менее уязвимым для обнаружения.
В результате были удалены такие функции, как обход анти-песочницы, избыточное второе C2-соединение, вторая папка эксфильтрации, функция скриншотов и возможность сбора данных в TXT-файлы на рабочем столе.
В то же время образцы после 2022 года получили целевые дополнения и улучшения, которые делают их более мощными. Ранее вредоносная программа могла осуществлять эксфильтрацию данных только из Chrome версий от 81 до 95. Теперь CryptBot ищет все пути к файлам и выкачивает данные пользователя, независимо от используемой версии Chrome. Это усовершенствование позволяет CryptBot быть эффективным против более широкого круга целей.
Метод заражения CryptBot
Начало последовательности атак CryptBot обычно происходит, когда ничего не подозревающий пользователь посещает взломанную веб-страницу и заманивается для загрузки, как кажется, законного файла, например, SFX-файла, выдаваемого за программное обеспечение типа Adobe Photoshop. После того как пользователь загружает файл, на его компьютер помещается вредоносный SFX-файл. После его выполнения в каталоге %Temp% создается папка, содержащая несколько файлов, которые позволяют осуществить последующий этап атаки.
Папка может содержать подлинную библиотеку DLL Windows, сценарий BAT, скрытый сценарий AutoIT и компилятор AutoIT v3 для исполняемых файлов. Некоторые файлы могут быть замаскированы под изображения, аудио- или видеофайлы, чтобы скрыть их реальное назначение. Конкретные используемые расширения файлов могут отличаться в разных версиях CryptBot.
В процессе атаки играет роль интерпретатор AutoIT, который часто эксплуатируется многочисленными семействами вредоносных программ. Сценарий BAT проверяет систему жертвы на наличие определенных антивирусных продуктов и использует функцию "сна", чтобы избежать обнаружения, если таковые обнаружены. Он также отвечает за расшифровку сильно обфусцированного сценария AutoIT и его передачу в виртуальную память для выполнения.
В итоге компилятор исполняемых файлов AutoIT запускает вредоносный скрипт, инициируя процесс AutoIT и загружая двоичный файл CryptBot в память системы.
Процесс выполнения программы CryptBot infostealer
После инициирования начальной полезной нагрузки поток выполнения CryptBot может быть различным. Иногда Cryptbot может использовать технику "компиляции после доставки" для уклонения от защиты или выпустить и выполнить второй файл.
Затем вредоносная программа собирает данные о зараженной системе, установленном программном обеспечении и подбирает учетные данные. Для эксфильтрации данных похититель часто устанавливает соединение с доменом C2 с расширением ** .top**. Примечательно, что он постоянно отправляет запросы на страницу с именем gate.php. После выполнения этих действий вредоносная программа может применить технику удаления файлов, удалив себя.
Распространение CryptBot
Начиная с февраля 2022 года, CryptBot не только использует методы фишинга и копьеметалки с зараженными документами, но и расширил методы распространения, используя взломанное программное обеспечение для привлечения потенциальных жертв.
Стратегия предполагает создание веб-сайтов, маскирующихся под поставщиков крэков программного обеспечения, генераторов ключей, пиратских игр или других утилит. Затем используются методы поисковой оптимизации (SEO), чтобы поместить сайты, распространяющие вредоносное ПО, в верхние строчки результатов поиска Google.
Вредоносные сайты часто обновляются, используя различные заманухи для привлечения пользователей. Посетители проходят через серию перенаправлений, прежде чем попасть на страницу доставки, которая может быть размещена на скомпрометированном легитимном сайте для отравления SEO-атак.
Заключение
Основной целью CryptBot являются люди, ищущие крэки, варез и другие методы обхода защиты авторских прав. Чтобы избежать заражения CryptBot и другими подобными вредоносными программами, пользователям следует воздерживаться от загрузки таких инструментов.