Threat Database Stealers ImBetter Stealer

ImBetter Stealer

ImBetter ist eine bedrohliche Software, die entwickelt wurde, um vertrauliche Informationen von Computersystemen und installierten Anwendungen zu stehlen. Diese Malware ist in der Lage, eine Vielzahl persönlicher und vertraulicher Daten wie Passwörter, Anmeldeinformationen, Kreditkarteninformationen und andere sensible Daten zu extrahieren, die für betrügerische Aktivitäten verwendet werden können. Details über die Angriffskette und die Fähigkeiten der Bedrohung wurden in einem Bericht der Cybersicherheitsforscher von Cyble Research and Intelligence Labs veröffentlicht.

Bedrohungsakteure ahmen legitime Kryptowährungs-Websites nach, um den ImBetter Stealer zu verbreiten

Cyberkriminelle verwenden Phishing-Websites, die beliebte Kryptowährungs-Wallets und Online-Dateikonverter nachahmen, um Windows-Benutzer anzugreifen. Diese bösartigen Websites sollen Benutzer dazu verleiten, Informationen stehlende Malware herunterzuladen, die ihre sensiblen Daten gefährden kann.

Die neu entdeckte Malware ImBetter, die Informationen stiehlt, ist in der Lage, die vertraulichen Browserdaten der Opfer zu stehlen, einschließlich gespeicherter Anmeldeinformationen, Cookies, Benutzerprofile und Kryptowährungs-Wallets. Außerdem macht die Malware Screenshots vom System des Opfers und sendet sie an die Angreifer.

In beiden Fällen von Phishing-Websites löst die Interaktion des Benutzers mit der Website, z. B. das Klicken auf bestimmte Schaltflächen oder Links, den Infektionsprozess aus. Sobald die Malware installiert ist, arbeitet sie unbemerkt im Hintergrund, sammelt Daten und sendet sie an die Angreifer zurück.

Diese Art von Cyberangriff ist besonders gefährlich, da sie über längere Zeiträume unentdeckt bleiben kann und es den Angreifern ermöglicht, erhebliche Datenmengen zu stehlen.

Bedrohungsfähigkeiten des ImBetter Stealer

Die informationsstehlende Malware untersucht den Language Code Identifier (LCID)-Code des infizierten Systems, um die Sprache und Region zu bestimmen. Wenn das System zu einer der Regionen gehört, die mit der russischen Sprache assoziiert werden, einschließlich Kasachisch, Tatarisch, Baschkirisch, Weißrussisch, Jakutisch oder Russisch-Moldawien, beendet sich die Malware selbst. Dies deutet darauf hin, dass die Angreifer wahrscheinlich Russisch sprechen.

Wenn das System nicht zu einer der identifizierten Regionen gehört, erstellt die Malware einen Screenshot des Systems und speichert ihn im Ordner „C:\Users\Public“ mit dem Dateinamen „Scr-urtydcfgads.png“. Der Screenshot wird dann an den Command and Control (C2, C&C)-Server gesendet.

Sobald eine Socket-Verbindung zum C&C-Server hergestellt ist, sammelt die informationsstehlende Malware verschiedene Details über das infizierte System. Dazu gehören die Hardware-ID, GPU-Details, System-RAM-Größe, CPU-Details, Bildschirmdetails und der Name der ausführbaren Malware.

Die Malware speichert jedes Systemdetail separat als Schlüssel-Wert-Paar-Zeichenfolge im Speicher. Dieser String wird dann im Base64-Format kodiert und über den zuvor eingerichteten Socket an den C&C-Server übertragen.

Sobald ImBetter das Extrahieren der Systeminformationen abgeschlossen hat, sucht es nach Browseranwendungen, die auf dem infizierten Gerät installiert sind. Die Malware kann über 20 verschiedene Browser kompromittieren. Basierend auf den Browsern, auf die die Malware abzielt, scheint sie sich stark auf Chromium-basierte Webbrowser zu konzentrieren. Darüber hinaus ist der ImBetter Stealer in der Lage, auf fast 70 verschiedene Arten von Kryptowährungs-Wallets abzuzielen.

Dieses Verhalten demonstriert die fortschrittlichen Fähigkeiten der informationsstehlenden Malware und die hohe Raffinesse der dahinter stehenden Angreifer. Es ist wichtig, beim Surfen im Internet wachsam zu bleiben, die Software auf dem neuesten Stand zu halten und Anti-Malware-Software zu verwenden, um das Infektionsrisiko zu verringern.

Im Trend

Am häufigsten gesehen

Wird geladen...