Op woensdag kondigde Google aan dat het een tijdelijk gerechtelijk bevel had gekregen in de VS om de verspreiding van malware genaamd CryptBot te verstoren. De spyware verzamelt privégegevens van Google Chrome-gebruikers, waaronder inloggegevens voor sociale netwerkaccounts, accounts voor digitale valuta en authenticatiegegevens.

Meer dan 670k pc’s werden in 2022 aangevallen door CryptBot, en de buitgemaakte gegevens werden verhandeld aan verschillende hackers voor gebruik bij hackactiviteiten. Bij gerechtelijk bevel is Google van plan alle actieve en toekomstige sites te verwijderen die verband houden met de verspreiding van CryptBot.

Mike Trinh en Pierre-Marc Bureau van Google verklaarden dat de techgigant actie onderneemt om personen te straffen die profiteren van de verspreiding van ransomware en de illegale eigenaars ervan verantwoordelijk stellen. CryptBot, oorspronkelijk geïdentificeerd in december 2019, verspreidt zich door opzettelijk gewijzigde versies van bekende softwareprogramma’s zoals Google Earth Pro en Google Chrome die worden opgeslagen op nepwebsites.

Lees ook: “Chinese hackers breiden doelwitten uit met PingPull Linux-variant: Financiële en overheidsinstellingen in gevaar”.

De infectie is verspreid via gehackte dievenwebsites die “gekraakte” edities van verschillende programma’s en videogames aanbieden.

In december 2021 ontdekte Red Canary een CryptBot-campagne die KMSPico, een onofficiële tool om Microsoft Office en Windows zonder licentiesleutel te activeren, als afleveringsvector gebruikte. BlackBerry heeft de schadelijke info stealer ook bijgewerkt en uitgebracht in maart 2022 via gehackte piraterij websites. Google gelooft dat de leidende CryptBot dealers een wereldwijde criminele organisatie leiden vanuit Pakistan.

Gebruikers worden aangemoedigd om alleen toepassingen te downloaden van betrouwbare websites, feedback zorgvuldig te lezen en ervoor te zorgen dat zowel de software als het besturingssysteem op hun apparaat zijn bijgewerkt om de gevaren van dergelijke aanvallen tot een minimum te beperken. De onthulling van Google komt nadat Microsoft, Fortra en Health-ISAC legaal servers met illegale kopieën van Cobalt Strike hadden ontmanteld om misbruik van de tool door dreigingsactoren te voorkomen. In december 2021 verving Google het bestel- en controlesysteem dat aan het Glupteba-botnet was gekoppeld. Zes maanden later keerde het virus echter terug met een “verscherpte” aanval.