ImBetter Stealer

ImBetter menace un logiciel conçu pour voler des informations sensibles à partir de systèmes informatiques et d'applications installées. Ce logiciel malveillant est capable d'extraire un large éventail de données personnelles et confidentielles, telles que des mots de passe, des identifiants de connexion, des informations de carte de crédit et d'autres données sensibles pouvant être utilisées pour des activités frauduleuses. Des détails sur la chaîne d'attaque et les capacités de la menace ont été publiés dans un rapport des chercheurs en cybersécurité de Cyble Research and Intelligence Labs.

Les acteurs de la menace imitent les sites Web légitimes de crypto-monnaie pour diffuser le voleur ImBetter

Les cybercriminels utilisent des sites Web de phishing qui imitent les portefeuilles de crypto-monnaie populaires et les convertisseurs de fichiers en ligne pour cibler les utilisateurs de Windows. Ces sites Web malveillants sont conçus pour inciter les utilisateurs à télécharger des logiciels malveillants voleurs d'informations, ce qui peut compromettre leurs données sensibles.

Le logiciel malveillant de vol d'informations ImBetter récemment découvert est capable de voler les données confidentielles du navigateur des victimes, y compris les identifiants de connexion enregistrés, les cookies, les profils d'utilisateur et les portefeuilles de crypto-monnaie. De plus, le logiciel malveillant prend des captures d'écran du système de la victime et les envoie aux attaquants.

Dans les deux cas de sites Web de phishing, l'interaction de l'utilisateur avec le site Web, comme le fait de cliquer sur certains boutons ou liens, déclenche le processus d'infection. Une fois le logiciel malveillant installé, il fonctionne silencieusement en arrière-plan, collectant des données et les renvoyant aux attaquants.

Ce type de cyberattaque est particulièrement dangereux car il peut passer inaperçu pendant de longues périodes, permettant aux attaquants de voler des quantités importantes de données.

Capacités menaçantes du voleur ImBetter

Le logiciel malveillant voleur d'informations examine le code LCID (Language Code Identifier) du système infecté pour déterminer la langue et la région. Si le système appartient à l'une des régions associées à la langue russe, y compris le kazakh, le tatar, le bachkir, le biélorusse, le yakut ou le russe-moldova, le logiciel malveillant se termine de lui-même. Cela suggère que les agresseurs sont probablement des russophones.

Si le système n'appartient pas à l'une des régions identifiées, le logiciel malveillant prend une capture d'écran du système et l'enregistre dans le dossier C:\Users\Public avec le nom de fichier « Scr-urtydcfgads.png ». La capture d'écran est ensuite envoyée au serveur de commande et de contrôle (C2, C&C).

Une fois qu'une connexion socket est établie avec le serveur C&C, le logiciel malveillant voleur d'informations rassemble divers détails sur le système infecté. Cela inclut l'ID matériel, les détails du GPU, la taille de la RAM système, les détails du processeur, les détails de l'écran et le nom de l'exécutable du logiciel malveillant.

Le logiciel malveillant stocke chaque détail du système séparément sous la forme d'une chaîne de paires clé-valeur en mémoire. Cette chaîne est ensuite codée au format Base64 et transmise au serveur C&C via le socket qui a été établi à une étape précédente.

Une fois qu'ImBetter a fini d'extraire les informations système, il vérifie les applications de navigateur installées sur l'appareil infecté. Le malware est capable de compromettre plus de 20 navigateurs différents. Sur la base des navigateurs ciblés par le logiciel malveillant, il semble se concentrer fortement sur les navigateurs Web basés sur Chromium. De plus, ImBetter Stealer est capable de cibler près de 70 types différents de portefeuilles de crypto-monnaie.

Ce comportement démontre les capacités avancées du logiciel malveillant de vol d'informations et le haut niveau de sophistication des attaquants qui le sous-tendent. Il est crucial de rester vigilant lors de la navigation sur Internet, de maintenir les logiciels à jour et d'utiliser un logiciel anti-malware pour réduire le risque d'infection.