O malware CryptBot, um infostealer de 32 bits descoberto pela primeira vez em 2019, voltou a se destacar devido a métodos avançados para expandir e sustentar sua botnet. Criado para roubar dados sensíveis e vender acesso a sistemas comprometidos, o CryptBot continua a operar de forma eficaz, mesmo após tentativas significativas de interrupção nos últimos anos. Seu principal método de disseminação é por meio de sites fraudulentos que oferecem versões falsas de softwares populares, atraindo vítimas com a promessa de programas “crackeados”. Além disso, o CryptBot utiliza serviços de “Pay-Per-Install”, como o PrivateLoader, que distribui o malware via Telegram, vendendo máquinas infectadas a outros cibercriminosos.
Investigações recentes também apontaram para o uso de droppers como o PeakLight, que instala o CryptBot em conjunto com outras ameaças, como LummaC2 e ShadowLadder. Para garantir resiliência, os operadores do CryptBot utilizam serviços de hospedagem “bulletproof”, conhecidos por resistir a tentativas de derrubada. Provedores como “Aeza International Ltd” e “Karina Rashkovska” têm apoiado páginas de phishing, cargas maliciosas e servidores de comando e controle. Além disso, foi identificada uma migração para novas infraestruturas de hospedagem, incluindo a “Psb Hosting Ltd”, que assumiu parte das operações do malware.
A análise de scripts de rastreamento Matomo, usados nas campanhas do CryptBot, revelou uma rede de domínios associados ao malware. Alguns desses sites redirecionam usuários para outras cargas, como o Lumma, distribuído por loaders como o HijackLoader. Essa estratégia em camadas reflete a crescente sofisticação do CryptBot. Embora esforços para conter o malware tenham tido algum sucesso, como a derrubada de domínios associada a uma decisão judicial obtida pelo Google em 2023, o impacto foi temporário. As infecções caíram de mais de 672 mil em 2022 para cerca de 40 mil no final de 2023. No entanto, novos domínios registrados em 2024 indicam um ressurgimento, com os operadores adaptando suas táticas para evitar detecção e ampliar sua atuação.
