Το BlackGuard, ένα νέο info-stealing malware (χρησιμοποιείται για κλοπή δεδομένων και passwords), μπορεί να αποτελέσει μια νέα μεγάλη απειλή, αφού φαίνεται πως έχει ήδη κερδίσει την προσοχή των κυβερνοεγκληματιών. Το malware πωλείται σε πολλές αγορές και φόρουμ του dark web στην τιμή των 700 $. Ωστόσο, οι ενδιαφερόμενοι εγκληματίες μπορούν να πληρώνουν μια συνδρομή 200 $ το μήνα, αν δεν θέλουν να αγοράσουν το malware για πάντα.
Δείτε επίσης: Zero-day στο Java Spring επιτρέπει απομακρυσμένη εκτέλεση κώδικα
Το BlackGuard malware μπορεί να κλέψει σημαντικές πληροφορίες από διάφορες εφαρμογές, να τις τοποθετήσει σε ένα αρχείο ZIP και να τις στείλει στο C2 της malware-as-a-service (MaaS) επιχείρησης.
Οι κυβερνοεγκληματίες που έχουν αγοράσει μια συνδρομή μπορούν στη συνέχεια να αποκτήσουν πρόσβαση στο web panel του BlackGuard για να ανακτήσουν τα κλεμμένα data logs.
, μπορεί να αποτελέσει μια νέα μεγάλη){kind=link}
Το info-stealing malware εντοπίστηκε και αναλύθηκε από ερευνητές της Zscaler.
Σύμφωνα με το Bleeping Computer, το BlackGuard malware εμφανίστηκε για πρώτη φορά σε ρωσόφωνα φόρουμ τον Ιανουάριο του 2022 και αρχικά κυκλοφορούσε σε μικρή κλίμακα για δοκιμαστικούς σκοπούς.
BlackGuard malware: Δυνατότητες
Όπως είπαμε και παραπάνω, το info-stealing malware μπορεί να κλέψει δεδομένα από ένα ευρύ φάσμα εφαρμογών. Μπορεί να κλέψει όλους τους τύπους πληροφοριών που σχετίζονται με Crypto wallets, VPN, Messengers, FTP credentials, αποθηκευμένα browser credentials και άλλα. Ωστόσο, φαίνεται να εστιάζει κυρίως στα cryptocurrency assets.
Παρακάτω μπορείτε να δείτε με περισσότερες λεπτομέρειες τι δεδομένα κλέβει το BlackGuard και από ποιες κατηγορίες προγραμμάτων:
Web browsers: Το info-stealing malware κλέβει passwords, cookies, autofill και ιστορικό από Chrome, Firefox, Opera, Vivaldi, Comodo, Edge, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Amigo, Torch, 360 Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, BraveSoftware.
Email: Outlook
Messengers: Telegram, Discord, Signal, Pidgin, Tox, Element
Wallet browser extensions: Binance, coin98, Metamask, Phantom, Mobox, XinPay, Starcoin, Math10, BitApp, Guildwallet, iconx, Crocobit, Sollet, Slope Wallet, Swash, Finnie, KEPLR, OXYGEN, Nifty, Liquality, Rabet wallet, Auvitas wallet, Math wallet, Yoroi wallet, MTV wallet, Ronin wallet, ZilPay wallet, Exodus, Jaxx, Terra Station.
Cryptocurrency wallets: BitcoinCore, Ethereum, Monero, Exodus, AtomicWallet, DashCore, Electrum, LitecoinCore, Jaxx, Zcash, Solar, Zap, AtomicDEX, Wassabi, Binance, Frame, TokenPocket.
Άλλα: NordVPN, OpenVPN, ProtonVpn, Steam, Totalcommander, WinSCP, Filezilla.
Οι πληροφορίες που συλλέγει το info-stealing BlackGuard malware, ομαδοποιούνται σε ένα αρχείο ZIP και αποστέλλονται στο C2 server μέσω POST request.
Δείτε επίσης: Apple και Meta μοιράστηκαν δεδομένα με hackers που προσποιούνταν ότι ήταν ερευνητές
Το malware έχει δυνατότητες για αποφυγή εντοπισμού
Οι χειριστές του malware βελτιώνουν ακόμα αυτές τις δυνατότητες, αλλά το BlackGuard έχει ήδη κάποια στοιχεία που δυσκολεύουν τον εντοπισμό του από ερευνητές ασφαλείας.
Πρώτον, είναι packed με crypter και όλα τα strings του είναι base64 obfuscated. Αυτό σημαίνει ότι πολλά εργαλεία προστασίας από ιούς που βασίζονται σε static detection, δεν θα καταφέρουν να το εντοπίσουν.
Επίσης, σύμφωνα με τους ερευνητές το κακόβουλο λογισμικό εντοπίζει AVs που μπορεί να εκτελούνται στο σύστημα και προσπαθεί να επηρεάσει τα processes τους και να τερματίσει τη λειτουργία τους.
Το κακόβουλο λογισμικό ελέγχει επίσης τη διεύθυνση IP του θύματος και εάν εκτελείται σε σύστημα στη Ρωσία ή σε οποιαδήποτε άλλη χώρα της ΚΑΚ, δεν συνεχίζει τη μόλυνση. Αυτό θα μπορούσε να αποτελεί μια ένδειξη της προέλευσης του BlackGuard malware.
Δείτε επίσης: Hackers κλέβουν cryptos από άλλους hackers προωθώντας ψεύτικα malware
Λίγα λόγια για τα info-stealing malware
Τα info-stealing malware κλέβουν προσωπικά και άλλα δεδομένα τα οποία μπορούν να χρησιμοποιηθούν για περαιτέρω κακόβουλες δραστηριότητες ή για την απόκτηση εσόδων μέσω της πώλησής τους σε άλλους εγκληματίες. Σε αυτή την κατηγορία εντοπίζονται απειλές όπως τα keyloggers, screen scrapers, spyware, adware, backdoors και bots.
Αυτή η κατηγορία malware βρίσκεται σε άνοδο, με τα Redline, MarsStealer, Vidar Stealer και AZORult να κυριαρχούν. Ωστόσο, πιστεύεται ότι και το BlackGuard malware μπορεί να γίνει πολύ δημοφιλές.
Για να προστατευτείτε από τα κακόβουλα προγράμματα που κλέβουν πληροφορίες, αποφύγετε να επισκέπτεστε περίεργα sites και μην κάνετε λήψη αρχείων από μη αξιόπιστες πηγές. Τέλος, χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων, προστατέψτε τους λογαριασμούς με ισχυρούς κωδικούς και διατηρήστε ενημερωμένα όλα τα συστήματά σας.
Πηγή: Bleeping Computer