ImBetter Stealer

ImBetter 是一種威脅軟件，旨在從計算機系統和已安裝的應用程序中竊取敏感信息。該惡意軟件能夠提取範圍廣泛的個人和機密數據，例如密碼、登錄憑據、信用卡信息和其他可用於欺詐活動的敏感數據。 Cyble Research and Intelligence Labs 的網絡安全研究人員在一份報告中發布了有關攻擊鍊和威脅能力的詳細信息。

威脅行為者模仿合法的加密貨幣網站來傳播 ImBetter 竊取者

網絡犯罪分子正在使用模仿流行的加密貨幣錢包和在線文件轉換器的網絡釣魚網站來瞄準 Windows 用戶。這些惡意網站旨在誘騙用戶下載信息竊取惡意軟件，這可能會危及他們的敏感數據。

新發現的 ImBetter 信息竊取惡意軟件能夠竊取受害者的機密瀏覽器數據，包括保存的登錄憑據、cookie、用戶配置文件和加密貨幣錢包。此外，惡意軟件還會截取受害者係統的屏幕截圖並將其發送給攻擊者。

在這兩種網絡釣魚網站中，用戶與網站的交互（例如單擊某些按鈕或鏈接）都會觸發感染過程。安裝惡意軟件後，它會在後台靜默運行，收集數據並將其發回給攻擊者。

這種類型的網絡攻擊特別危險，因為它可能會長時間未被發現，從而使攻擊者能夠竊取大量數據。

ImBetter 竊取者的威脅能力

信息竊取惡意軟件檢查受感染系統的語言代碼標識符 (LCID) 代碼以確定語言和區域。如果系統屬於與俄語相關的任何地區，包括哈薩克語、韃靼語、巴什基爾語、白俄羅斯語、雅庫特語或俄語-摩爾多瓦語，則惡意軟件會自行終止。這表明攻擊者很可能是說俄語的人。

如果系統不屬於識別出的區域之一，惡意軟件就會截取系統的屏幕截圖並將其保存在 C:\Users\Public 文件夾中，文件名為“Scr-urtydcfgads.png”。然後將屏幕截圖發送到命令和控制（C2、C&C）服務器。

一旦與 C&C 服務器建立了套接字連接，信息竊取惡意軟件就會收集有關受感染系統的各種詳細信息。這包括硬件 ID、GPU 詳細信息、系統 RAM 大小、CPU 詳細信息、屏幕詳細信息和惡意軟件可執行文件的名稱。

惡意軟件將每個系統詳細信息作為鍵值對字符串分別存儲在內存中。然後將此字符串使用 Base64 格式進行編碼，並通過前期建立的套接字傳輸到 C&C 服務器。

一旦 ImBetter 完成提取系統信息，它就會檢查受感染設備上是否安裝了瀏覽器應用程序。該惡意軟件能夠危害 20 多種不同的瀏覽器。根據惡意軟件針對的瀏覽器，它似乎主要關注基於 Chromium 的網絡瀏覽器。此外，ImBetter Stealer 能夠針對近 70 種不同類型的加密貨幣錢包。

這種行為展示了信息竊取惡意軟件的高級功能及其背後的攻擊者的高水平。在瀏覽互聯網時保持警惕、保持軟件為最新版本並使用反惡意軟件來降低感染風險至關重要。