Μια ενημερωμένη έκδοση του BlackGuard stealer ανακαλύφθηκε πρόσφατα σε κυκλοφορία, εισάγοντας νέα χαρακτηριστικά, όπως η δυνατότητα εξάπλωσης μέσω μονάδων USB, επίμονοι μηχανισμοί μόλυνσης, φόρτωση πρόσθετων payload στη μνήμη και στόχευση πολλαπλών πορτοφολιών κρυπτονομισμάτων.
Τον Μάρτιο του 2022, το BlackGuard έγινε για πρώτη φορά αντιληπτή από την Zscaler – μια εταιρεία ασφάλειας στον κυβερνοχώρο. Ανέφεραν ότι προσφέρεται ως MaaS (malware-as-a-service) σε ρωσόφωνα φόρουμ με μηνιαίο κόστος 200 δολάρια ή ακόμη και με εφάπαξ χρέωση μόλις 700 δολάρια! Αυτό το εκπληκτικό κακόβουλο λογισμικό μπορεί να προσπελαστεί εύκολα και παρέχει τεράστια προστασία από κάθε κακόβουλη επίθεση.
Ο νέος stealer εμφανίστηκε λίγο μετά τον τερματισμό της αρχικής λειτουργίας Raccoon Stealer MaaS, απολαμβάνοντας καλά ποσοστά υιοθέτησης ενώ προσφέρει εκτεταμένες δυνατότητες στόχευσης εφαρμογών.
Οι αναλυτές της AT&T εντόπισαν μια νέα έκδοση του BlackGuard stealer, ενημερώνοντάς μας ότι οι δημιουργοί του το αναβαθμίζουν συνεχώς, διατηρώντας το κόστος της συνδρομής σταθερό. Αυτό το ισχυρό κακόβουλο λογισμικό παραμένει ιδιαίτερα διαδεδομένο και ενεργό.
Νέες δυνατότητες του BlackGuard
Το εύρος στόχευσης του BlackGuard παραμένει εκτεταμένο, επιχειρώντας να κλέψει cookies και credentials που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού, δεδομένα επέκτασης προγράμματος περιήγησης cryptocurrency wallet, δεδομένα desktop crypto wallet, πληροφορίες από εφαρμογές ανταλλαγής μηνυμάτων και παιχνιδιών, email clients και εργαλεία FTP ή VPN.
Η τελευταία έκδοση του BlackGuard είναι απίστευτα συναρπαστική λόγω των νέων χαρακτηριστικών που έχουν συμπεριληφθεί, καθιστώντας το ακόμη πιο επικίνδυνο από ποτέ.
Αρχικά, ένα crypto wallet hijacker (clipper) module αντικαθιστά τις διευθύνσεις κρυπτονομισμάτων που έχουν αντιγραφεί στο πρόχειρο των Windows με τη δική τους διεύθυνση, προκειμένου να προσπαθήσει να εκτρέψει τυχόν εισερχόμενα κρυπτονομίσματα απευθείας στα πορτοφόλια τους.
Ο clipper έχει κωδικοποιημένες διευθύνσεις για Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash και DASH, επομένως υποστηρίζει αρκετά κρυπτονομίσματα.
Το δεύτερο νέο χαρακτηριστικό είναι η ικανότητα του BlackGuard να διαδίδεται μέσω USB stick και άλλων αφαιρούμενων συσκευών και να μολύνει αυτόματα οποιουσδήποτε νέους hosts φτάνει.
Η τρίτη προσθήκη είναι η δυνατότητα του κακόβουλου λογισμικού να κατεβάζει πρόσθετα ωφέλιμα φορτία από τον διακομιστή C2 και να τα εκτελεί απευθείας στη μνήμη του υπολογιστή που έχει παραβιαστεί χρησιμοποιώντας τη μέθοδο “process hollowing”, αποφεύγοντας έτσι τον εντοπισμό από τα εργαλεία AV.
Το τέταρτο νέο χαρακτηριστικό είναι η ικανότητα του BlackGuard να προσθέτει τον εαυτό του κάτω από το κλειδί μητρώου “Run”, κερδίζοντας έτσι την επιμονή μεταξύ των επανεκκινήσεων του συστήματος.
Τέλος, μια δυνατότητα αντιγράφει αρχεία κακόβουλου λογισμικού σε κάθε φάκελο στη μονάδα δίσκου C:\, δίνοντας σε κάθε αντίγραφο των αρχείων ένα τυχαίο όνομα.
Εκτός από αυτές τις δυνατότητες, το BlackGuard στοχεύει τώρα 57 επεκτάσεις και πορτοφόλια προγραμμάτων περιήγησης κρυπτονομισμάτων, επιχειρώντας να κλέψει τα δεδομένα τους και να αποστραγγίσει τα περιουσιακά στοιχεία κρυπτονομισμάτων. Τον Αύγουστο, όταν η Zscaler ανέλυσε το κακόβουλο λογισμικό, είχε κλέψει μόνο δεδομένα από 45 επεκτάσεις και πορτοφόλια που σχετίζονται με κρυπτογράφηση.
Οι στοχευμένες επεκτάσεις περιλαμβάνουν τις Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin και Ronin wallet, ενώ περιλαμβάνονται επίσης εξειδικευμένα πορτοφόλια όπως AtomicWallet BitcoinCore DashCore Electrum Ethereum Exodus Crypto και LiteCoin Core.
Οι αναλυτές της AT&T σχολιάζουν ότι αυτό το σύστημα αντιγραφής είναι περισσότερο ενοχλητικό παρά οτιδήποτε πλεονεκτικό. Ωστόσο, οι χειριστές μπορεί να έχουν εφαρμόσει αυτό το σύστημα για να κάνουν πιο δύσκολη την αφαίρεση του κακόβουλου λογισμικού.
Συνοψίζοντας, η νεότερη έκδοση της BlackGuard αναδεικνύει τη συνεχή ανάπτυξή της στον τομέα του MaaS, με αρκετά σημαντικά χαρακτηριστικά που την καθιστούν ακόμη πιο τρομερή για τους χρήστες.
Για να προστατέψετε τον υπολογιστή σας από μολύνσεις BlackGuard, μην κατεβάζετε εκτελέσιμα αρχεία από ύποπτους ιστότοπους και μην εκκινείτε αρχεία που έρχονται ως συνημμένα ηλεκτρονικού ταχυδρομείου χωρίς να επιβεβαιώσετε τον αποστολέα. Επιπλέον, φροντίστε να διατηρείτε ενημερωμένο όλο το λογισμικό του συστήματός σας και τα εργαλεία προστασίας από ιούς για βέλτιστη προστασία.
Πηγή πληροφοριών: bleepingcomputer.com
