ImBetter Stealer
ImBetter es un software amenazante diseñado para robar información confidencial de los sistemas informáticos y las aplicaciones instaladas. Este malware es capaz de extraer una amplia gama de datos personales y confidenciales, como contraseñas, credenciales de inicio de sesión, información de tarjetas de crédito y otros datos confidenciales que pueden usarse para actividades fraudulentas. Los detalles sobre la cadena de ataque y las capacidades de la amenaza fueron publicados en un informe de los investigadores de ciberseguridad de Cyble Research and Intelligence Labs.
Actores de amenazas imitan sitios web legítimos de criptomonedas para difundir el ladrón ImBetter
Los ciberdelincuentes están utilizando sitios web de phishing que imitan las billeteras de criptomonedas populares y los convertidores de archivos en línea para atacar a los usuarios de Windows. Estos sitios web maliciosos están diseñados para engañar a los usuarios para que descarguen malware que roba información, lo que puede comprometer sus datos confidenciales.
El malware de robo de información ImBetter recientemente descubierto es capaz de robar los datos confidenciales del navegador de las víctimas, incluidas las credenciales de inicio de sesión guardadas, las cookies, los perfiles de usuario y las billeteras de criptomonedas. Además, el malware toma capturas de pantalla del sistema de la víctima y las envía a los atacantes.
En ambos casos de sitios web de phishing, la interacción del usuario con el sitio web, como hacer clic en ciertos botones o enlaces, desencadena el proceso de infección. Una vez que se instala el malware, funciona silenciosamente en segundo plano, recopila datos y los envía a los atacantes.
Este tipo de ataque cibernético es particularmente peligroso porque puede pasar desapercibido durante períodos prolongados, lo que permite a los atacantes robar cantidades significativas de datos.
Capacidades amenazantes del ImBetter Stealer
El malware que roba información examina el código del identificador de código de idioma (LCID) del sistema infectado para determinar el idioma y la región. Si el sistema pertenece a cualquiera de las regiones asociadas con el idioma ruso, incluidos kazajo, tártaro, bashkir, bielorruso, yakuto o ruso-moldavo, el malware termina por sí solo. Esto sugiere que los atacantes probablemente hablan ruso.
Si el sistema no pertenece a una de las regiones identificadas, el malware toma una captura de pantalla del sistema y la guarda en la carpeta C:\Users\Public con el nombre de archivo 'Scr-urtydcfgads.png'. Luego, la captura de pantalla se envía al servidor de comando y control (C2, C&C).
Una vez que se establece una conexión de socket con el servidor C&C, el malware que roba información recopila varios detalles sobre el sistema infectado. Esto incluye la identificación del hardware, los detalles de la GPU, el tamaño de la RAM del sistema, los detalles de la CPU, los detalles de la pantalla y el nombre del ejecutable del malware.
El malware almacena cada detalle del sistema por separado como una cadena de par clave-valor en la memoria. Luego, esta cadena se codifica con el formato Base64 y se transmite al servidor C&C a través del socket que se estableció en una etapa anterior.
Una vez que ImBetter ha terminado de extraer la información del sistema, busca aplicaciones de navegador instaladas en el dispositivo infectado. El malware es capaz de comprometer más de 20 navegadores diferentes. Según los navegadores objetivo del malware, parece centrarse en gran medida en los navegadores web basados en Chromium. Además, ImBetter Stealer es capaz de apuntar a casi 70 tipos diferentes de billeteras de criptomonedas.
Este comportamiento demuestra las capacidades avanzadas del malware de robo de información y el alto nivel de sofisticación de los atacantes detrás de él. Es fundamental mantenerse alerta cuando se navega por Internet, mantener el software actualizado y utilizar software antimalware para reducir el riesgo de infección.
