Malware PsiXBot, sejenis malware yang dicipta untuk mencuri maklumat sulit/peribadi dan mata wang crypto, telah berevolusi kepada sesuatu yang baru.
Menurut kajian dari Proofpoint US, mereka mendapati terdapat perubahan pada kaedah PsiXBot melakukan resolusi DNS, dengan mengaplikasikan DNS-over-HTTPS oleh Google.
Malware ini dihantar melalui kempen spam dan sebagai muatan kit exploit Spleen dan RIG-v, yang mana menyasarkan mana-mana pengguna selagi mereka bukan penutur bahasa Rusia.
Sekiranya sesebuah mesin tersebut dianggap sesuai untuk jangkitan, modul malware akan dilancarkan, yang mana meliputi modul seperti pencuri kata laluan, pencuri cookies, keylogger, dan proses pemantau clipboard untuk mendapatkan nama pengguna serta kata laluan bagi ‘beg dompet mata wang crypto’ seperti Bitcoin, Etherium, dan sebagainya lagi.
Menurut Proofpoint, PsiXBot dalam versi 1.0.3 memasukkan ciri baru iaitu perlaksanaan servis DNS-over-HTTPS (DoH) oleh Google dalam melengkapkan serangan beserta enkripsi.
Dengan menggunakan perkhidmatan DoH Google, ia membolehkan penyerang untuk menyembunyikan permintaan DNS ke pelayan C&C di sebalik engkripsi HTTPS.
Anda boleh semak hasil penemuan dari kajian mereka di sini: Proofpoint US.