Peligroso malware está siendo difundido a través de sitios de software crackeado

Investigadores han descubierto una nueva versión del ladrón de información CryptBot. La nueva versión está siendo difundida a través de varios sitios web que ofrecen descargas gratuitas de cracks para juegos y software de nivel profesional.

CryptBot es un malware de Windows que roba información de los dispositivos infectados. El malware puede robar las credenciales del navegador guardadas, las cookies, el historial del navegador, las billeteras de criptomonedas, las tarjetas de crédito y los archivos.

Esta última versión presenta nuevas capacidades y optimizaciones. Además, los autores del malware también han eliminado varias funciones antiguas para hacer que su herramienta sea más efectiva y eficiente.

Los analistas de seguridad de Ahn Lab informaron que los ciberdelincuentes actualizan constantemente su servidor de comando y control (C2), los sitios instaladores y el propio malware. Por lo tanto,  CryptBot es actualmente una de las operaciones maliciosas más cambiantes.

Uso de los resultados de búsqueda para la entrega

Según el informe de Ahn Lab, los ciberdelincuentes detrás de CryptBot distribuyen malware a través de sitios web que pretenden ofrecer cracks de software, generadores de claves u otras utilidades. 

Para obtener una amplia visibilidad, los actores de amenazas utilizan la optimización de motores de búsquedas para posicionar los sitios de distribución de malware en la parte superior de los resultados de búsqueda de Google. Es decir,  obtienen un flujo estable de posibles víctimas.

Según las capturas de pantalla compartidas de los sitios de distribución de malware, los ciberdelincuentes usan dominios personalizados o sitios web alojados en Amazon AWS.

Los sitios web maliciosos se actualizan constantemente. Por lo tanto, existe una amplia variedad de señuelos en constante cambio para atraer a los usuarios a los sitios de distribución de malware. 

Los visitantes de estos sitios son llevados a través de una serie de redireccionamientos antes de que terminen en la página de entrega. En otras palabras, la página de destino podría estar en un sitio legítimo comprometido y abusado por ataques de envenenamiento de SEO.

Funciones eliminadas

Las muestras recientes de CryptBot indican que sus autores quieren simplificar su funcionalidad. Ellos han logrado que el malware sea más liviano, más ágil y menos probable de ser detectado.

Hemos visto a los mismos operadores de malware usar  sitios VPN falsos para entregar CryptBot a las víctimas en años anteriores, por lo que el abuso del motor de búsqueda no es un truco nuevo.

En este contexto, los operadores eliminaron la rutina anti-sandbox, dejando solo la verificación de recuento de núcleos de CPU anti máquina virtual  en la versión más reciente.

Además, eliminaron la segunda conexión redundante al C2, la segunda carpeta de exfiltración, y la nueva variante solo presenta un único servidor de C2 de robo de información.

“El código muestra que al enviar archivos, el método de agregar manualmente los datos del archivo enviado al encabezado se cambió al método que usa API simple. También se modificó el valor del user-agent al enviarlo”.

“La versión anterior llama a la función dos veces para enviar cada uno a un C2 diferente. No obstante, en la versión modificada, una URL de C2 está codificada en la función”.

Informe de ASEC.

Otra característica que los autores de CryptBot han descartado es la función de captura de pantalla y la opción de recopilar datos en archivos TXT en el escritorio. Estas funciones eran demasiado riesgosas y quizás se detectarían fácilmente durante la exfiltración.

Funciona en todas las versiones de Chrome

Por otro lado, la última versión de CryptBot trae algunas adiciones y mejoras específicas que lo hacen mucho más potente.

En versiones anteriores, el malware solo podía extraer datos con éxito cuando se implementaba en versiones de Chrome entre la 81 y la 95.

Esta limitación surgió al implementar un sistema que buscaba los datos de los usuarios en rutas fijas de archivos, y si las rutas eran diferentes, el malware mostraba un error.

Ahora, busca en todas las rutas de archivos. Y, si se encuentran datos de usuario en algún lugar, los extrae independientemente de la versión de Chrome.

Teniendo en cuenta que Google lanzó Chrome 96 en noviembre de 2021, CryptBot permaneció ineficaz contra la mayoría de sus objetivos durante aproximadamente tres meses, por lo que sus operadores deberían solucionar este problema.

Como CryptBot se dirige principalmente a las personas que buscan cracks de software, warez y otros métodos para burlar la protección de los derechos de autor, protegerte es fácil. El simple hecho de evitar la descarga de estas herramientas evitará la infección por este malware y muchos otros.