Hoje, sites de phishing são comuns. Mas infelizmente, isso aparentemente antigo, tática enganosa, que todos pareciam ter descoberto há muito tempo, ainda traz enormes lucros para golpistas hoje. O problema é que, embora os utilizadores da Internet se tornem mais cautelosos, os golpistas cibernéticos estão desenvolvendo maneiras mais sofisticadas de enganá-los. Um desses métodos é o malware ImBetter. Os autores desse malware usam técnicas sofisticadas ao criar seus sites de phishing para fazê-los parecer legítimos e atraentes para os usuários.
O que é malware ImBetter?
ImBetter Stealer é o nome do malware cuja missão, como o próprio nome sugere, é roubar informações. Há não muito tempo atrás, pesquisadores encontraram alguns sites de phishing direcionados a usuários do Windows. Esses sites imitam carteiras criptográficas populares e conversores de arquivos online. No entanto, em vez de sua suposta função, eles enganam os usuários em baixar o “Ladrão ImBetter” malware. Este malware tem como alvo dados confidenciais, como carteiras de criptomoedas, credenciais do navegador, e cookies de sessão. Além disso, ele pode tirar screenshots do sistema e enviá-los para o C&Servidor C.
Propagação de malware ImBetter
Pesquisadores descobriram que o principal canal de divulgação do ImBetter são sites maliciosos disfarçando-se de legítimo bem conhecido sites de criptomoeda, como MetaMask, etc., e conversores de formato de arquivo online. No entanto, os especialistas não descartam que o ImBetter também use outros métodos de distribuição, como phishing e engenharia social. Em alguns casos, este malware está sendo empacotado com software pirateado ou é fornecido em seu lugar. Por sua vez, sites que distribuem programas piratas são promovidos por meio de correspondências de spam, search engine poisoning, pop-ups maliciosos do navegador, etc..
No entanto, o processo de infecção só começa quando um visitante interage com o site clicando em um conteúdo específico. O binário do malware ImBetter Stealer é um arquivo executável baseado em GUI de 32 bits. Imediatamente após iniciar a execução, o malware obtém dados de idioma e região para o sistema. Se o malware detectar russo, Moldávia, Bielorrusso, Basquir, tártaro, Cazaque, ou região/idiomas Yakut depois de verificar o código LCID do sistema infectado, isso impediria futuras execuções. Isso indica claramente a origem do vírus e indica que os invasores falam russo.
Roubo de dados ImBetter
Suponha que a vítima do sistema não pertença a nenhuma das regiões acima. Nesse caso, ImBetter tira uma captura de tela da área de trabalho do sistema infectado e a salva no C:\UsuáriosPúblico pasta com o nome da imagem “Scr-urtydcfgads.png“. O malware enviará esta captura de tela para atacantes no C&Servidor C. ImBetter então cria uma conexão de soquete para o C&Endereço IP C, após o que pode obter o ID do hardware, CPU, GPU, e tamanho da memória do sistema, bem como informações de tela e nome do sistema infectado. Cada tipo de informação do sistema é salva separadamente como uma sequência de pares de valores-chave na memória e então codificada no formato Base64 e enviada para o C&Servidor C.
Seguindo informações do sistema, o malware verifica a presença de Navegadores da web baseados em Chromium instalado no sistema. ImBetter está interessado nos seguintes navegadores da web:
- Google Chrome
- Borda
- Ópera estável
- Vivaldi
- AcWebBrowser
- Navegador épico
- Navegador Titã
- Baidu Faísca
- LegalNovo
- Yandex
- Tocha
- Falcão
- Dragão Conveniente
- Derretimento de rocha
- Corajoso
- Escorregadio
- CentBrowser
- Ir!
- Ferro SRWare
- Rebanho
Há uma razão bastante simples para atacar esses navegadores. Sua popularidade aumenta a chance de encontrar algo valioso entre os arquivos do navegador – como senhas, contas de usuário, biscoitos e assim por diante. Por padrão, essas informações são armazenadas no AppData/Local/%BrowserName% diretório, aquele que é criado durante sua instalação. Contém credenciais de login, biscoitos, números de cartão de crédito armazenados, Perfis de usuário, e extensões de criptomoeda. Os cibercriminosos fazem tudo isso com um propósito – para obter controle sobre as informações pessoais e/ou fundos da vítima.
Como evitar malware?
As dicas de segurança cibernética a seguir criam uma primeira linha de defesa contra invasores. Recomendamos que você siga as próximas dicas para reduzir o risco de infecção pelo ImBetter, bem como outros malwares:
- Baixe de fontes confiáveis. Evite baixar e usar software pirata from warez/torrent websites. A maioria dos programas crackeados contém malware.
- Use strong passwords. Usar senhas fáceis de adivinhar ou previsíveis torna mais fácil para criminosos quebrarem sua senha por força bruta.
- Use autenticação multifator. Suponha que invasores descubram ou quebrem sua senha e tentem fazer login em sua conta. O sistema enviará uma notificação para o seu telefone e um código de confirmação único. Sem isso, os invasores não podem fazer login na sua conta.
- Sempre instale as atualizações mais recentes em seus dispositivos. As atualizações contêm correções de segurança importantes e, às vezes, novos recursos. Portanto, recomendamos ativar atualizações automáticas de software em seu computador e smartphone.
- Use um software antimalware confiável. Por aqui, software antivírus bloqueia e remove arquivos maliciosos durante o download.
- Por favor, não clique em links de e-mails or open email attachments a menos que você saiba sua autenticidade.
Dicas para organizações:
- Train employees to identify threats como URLs de phishing/inseguros.
- Monitore o beacon no nível da rede para bloquear a exfiltração de dados por malware ou TAs.
- Use URLs de bloqueio que os funcionários podem usar para baixar malware, como Torrent/Warez.
- Use data loss prevention (DLP) soluções em sistemas de funcionários.