ImBetter スティーラー

ImBetter は、コンピューター システムやインストールされているアプリケーションから機密情報を盗むように設計されたソフトウェアを脅かしています。このマルウェアは、パスワード、ログイン資格情報、クレジット カード情報、および不正行為に使用される可能性のあるその他の機密データなど、さまざまな個人データや機密データを抽出することができます。攻撃チェーンと脅威の機能に関する詳細は、Cyble Research and Intelligence Labs のサイバーセキュリティ研究者によるレポートで発表されました。

攻撃者が正規の暗号通貨 Web サイトを模倣して ImBetter Stealer を広める

サイバー犯罪者は、一般的な暗号通貨ウォレットやオンライン ファイル コンバーターを模倣したフィッシング Web サイトを使用して、Windows ユーザーを標的にしています。これらの悪意のある Web サイトは、ユーザーをだまして情報を盗むマルウェアをダウンロードさせるように設計されており、機密データが危険にさらされる可能性があります。

新たに発見された情報盗用マルウェア ImBetter は、保存されたログイン資格情報、Cookie、ユーザー プロファイル、暗号通貨ウォレットなど、被害者の機密ブラウザ データを盗むことができます。さらに、マルウェアは被害者のシステムのスクリーンショットを撮り、攻撃者に送信します。

フィッシング Web サイトのどちらの場合も、特定のボタンやリンクをクリックするなど、ユーザーが Web サイトを操作すると、感染プロセスがトリガーされます。マルウェアがインストールされると、バックグラウンドで静かに動作し、データを収集して攻撃者に送り返します。

このタイプのサイバー攻撃は、長期間検出されない可能性があり、攻撃者が大量のデータを盗む可能性があるため、特に危険です。

ImBetter Stealer の脅威的な機能

情報を盗むマルウェアは、感染したシステムの言語コード識別子 (LCID) コードを調べて、言語と地域を特定します。システムが、カザフ語、タタール語、バシキール語、ベラルーシ語、ヤクート語、ロシア モルドバ語など、ロシア語に関連する地域のいずれかに属している場合、マルウェアは自動的に終了します。これは、攻撃者がロシア語を話す可能性が高いことを示唆しています。

システムが識別された地域のいずれにも属していない場合、マルウェアはシステムのスクリーンショットを撮り、「Scr-urtydcfgads.png」というファイル名で C:\Users\Public フォルダーに保存します。次に、スクリーンショットがコマンド アンド コントロール (C2、C&C) サーバーに送信されます。

C&C サーバーへのソケット接続が確立されると、情報を盗むマルウェアは、感染したシステムに関するさまざまな詳細を収集します。これには、ハードウェア ID、GPU の詳細、システム RAM サイズ、CPU の詳細、画面の詳細、およびマルウェア実行可能ファイルの名前が含まれます。

マルウェアは、各システムの詳細をキーと値のペアの文字列としてメモリに個別に保存します。次に、この文字列は Base64 形式を使用してエンコードされ、以前の段階で確立されたソケットを介して C&C サーバーに送信されます。

ImBetter は、システム情報の抽出を完了すると、感染したデバイスにインストールされているブラウザ アプリケーションをチェックします。このマルウェアは、20 を超えるさまざまなブラウザーを侵害することができます。マルウェアが標的とするブラウザに基づくと、Chromium ベースの Web ブラウザに重点を置いているようです。さらに、ImBetter Stealer は、約 70 種類の暗号通貨ウォレットを標的にすることができます。

この動作は、情報を盗むマルウェアの高度な機能と、その背後にいる攻撃者の高度な技術を示しています。インターネットを閲覧するときは注意を払い、ソフトウェアを最新の状態に保ち、マルウェア対策ソフトウェアを使用して感染のリスクを軽減することが重要です。