Google je u srijedu saopštio da je dobio privremeni sudski nalog u SAD-u da poremeti distribuciju Windows baziranog malvera za krađu informacija pod nazivom CryptBot i “uspori” njegov rast.
Mike Trinh i Pierre-Marc Bureau iz tehnološkog giganta rekli su da su napori dio koraka koje treba poduzeti kako bi se “ne samo pozvali na odgovornost kriminalne operatere malicioznog softvera, već i one koji profitiraju od njegove distribucije”.
Procjenjuje se da je CryptBot zarazio preko 670.000 računara u 2022. godini s ciljem krađe osjetljivih podataka kao što su kredencijali za autentifikaciju, prijave na račune društvenih medija i novčanike za kriptovalute od korisnika Google Chrome-a.
Sakupljeni podaci se zatim eksfiltriraju do hakera, koji zatim prodaju podatke drugim napadačima za korištenje u kampanjama za kršenje podataka. CryptBot je prvi put otkriven u upotrebi u decembru 2019. godine.
Maliciozni softver se tradicionalno isporučuje putem maliciozno modifikovanih verzija legitimnih i popularnih softverskih paketa kao što su Google Earth Pro i Google Chrome koji se nalaze na lažnim web stranicama.
Štaviše, CryptBot kampanja koju je Red Canary otkrio u decembru 2021. godine podrazumijevala je korištenje KMSPico, neslužbenog alata koji se koristi za ilegalno aktiviranje Microsoft Office-a i Windows-a bez licencnog ključa, kao vektora isporuke.
Zatim je u martu 2022. godine BlackBerry otkrio detalje o novoj i poboljšanoj verziji malicioznog infostealer-a koji je distribuisan preko kompromitovanih piratskih stranica koje navodno nude “krekovane” verzije raznih softvera i video igara.
Sumnja se da glavni distributeri CryptBot-a, prema Google-u, vode “svjetski kriminalni poduhvat” sa sjedištem u Pakistanu.
Google je rekao da namjerava koristiti sudski nalog, koji je izdao federalni sudija u južnom okrugu New York-a, da “ukloni trenutne i buduće domene koji su povezani s distribucijom CryptBot-a”, čime se zaustavlja širenje novih infekcija.
Da biste ublažili rizike koje predstavljaju takve pretnje, savjetuje se da softver preuzimate samo iz poznatih i pouzdanih izvora, pažljivo pregledate recenzije i osigurate da se operativni sistem i softver uređaja ažuriraju.
Otkrivanje dolazi nekoliko sedmica nakon što su se Microsoft, Fortra i Centar za razmjenu i analizu zdravstvenih informacija (Health-ISAC) legalno udružili kako bi demontirali servere na kojima su smještene ilegalne, naslijeđene kopije Cobalt Strike-a kako bi spriječili zloupotrebu alata od strane hakera.
Takođe prati Google-ove napore da zatvori infrastrukturu za komandu i kontrolu povezanu sa botnet-om pod nazivom Glupteba u decembru 2021. godine. Malver se, međutim, vratio šest meseci kasnije kao deo “povećane” kampanje.
GitHub u vlasništvu ESET-a i Microsoft-a najavio je privremeni prekid malicioznog softvera za krađu informacija o robi pod nazivom RedLine Stealer nakon što su otkrili da njegovi komandno-kontrolni paneli koriste četiri različita GitHub repozitorijuma kao dead drop resolvers-e.
„Uklanjanje ovih repozitorijuma trebalo bi da prekine autentifikaciju za panele koji su trenutno u upotrebi“ saopštila je slovačka kompanija za kibernetičku bezbjednost. “Iako ovo ne utiče na stvarne back-end servere, to će primorati RedLine operatere da distribuišu nove panele svojim korisnicima.”
Izvor: The Hacker News