Nova varijanta BlackGuard kradljivca

AUTOR · Published · Updated

Nova varijanta BlackGuard kradljivca je primijećena u kibernetičkom prostoru sa sa novim mogućnostima kao što su USB širenje, mehanizmi održivosti, učitavanje dodatnog zlonamjernog kôda u memoriju i ciljanje dodatnih kripto novčanika.

BlackGuard

Image by Pete Linforth from Pixabay

Upoznavanje

Hakerski forumi se često organizuju kao podzemna tržišta na kojima sajber kriminalci kupuju, iznajmljuju i prodaju sve vrste zlonamjernih ilegalnih proizvoda, uključujući softver, trojance, kradljivac, eksploatacije i korisničke lozinke. Zlonamjerni softver kao usluga (eng. Malware-as-a-serviceMaaS) je značajno doprinio porastu ransomvare-a i phishing napada (između ostalih vrsta napada) u protekloj godini, jer zahtijevaju manje tehničkog znanja za pokretanje napada na korisnike i organizacije.

Dok je pregledao jedan od ovih hakerskih foruma tokom redovnih istraživačkih aktivnosti, tim Zscaler ThreatLabz je naišao na BlackGuard, sofisticirani kradljivac, koji se nudi za prodaju. BlackGuard se trenutno prodaje po modelu zlonamjerni softver kao usluga sa doživotnim pravom korištenja sa cijenom od 700 dolara ili mjesečnom pretplatom sa cijenom od 200 dolara.

BlackGuard ima mogućnost da ukrade sve vrste informacija koje se odnose na kripto novčanike, VPN, aplikacije za razmjenu poruka, FTP akreditive, sačuvane akreditive u Internet pregledačima i klijentima elektronske pošte.

 

Tehničke mogućnosti

BlackGuard je .NET kradljivac zapakovan u šifrovani paket. Trenutno je u aktivnom razvoju i ima sljedeće mogućnosti:

  • Izbjegavanje otkrivanja. Jednom kada je pokrenut, gasi procese povezane sa antivirus i sandbox softverom.
  • Zamagljivanje niza. Zlonamjerni softver sadrži nepromjenjivo upisan kodirani niz bajtova koji se dekodira u toku izvršavanja ASCII stringova nakon čega slijedi base64 dekodiranje. Ovo mu omogućava da zaobiđe antivirusnu i detekciju zasnovanu na nizovima.
  • ZND izbjegavanje. BlackGuard provjerava zaraženu zemlju slanjem zahteva na “http://ipvhois.app/kml/“ i sam se gasi ako se uređaj nalazi u Zajednici nezavisnih država – odnosno savezu sastavljenom od 10 bivših sovjetskih republika.
  • Sprečavanje obrnutog inžinjeringa. BlackGuard koristi user32!BlockInput() koji može blokirati sve događaje miša i tastature kako bi onemogućio pokušaje otklanjanja grešaka.
  • Funkcija krađe. Nakon što se sve provjere završe, poziva se funkcija koja prikuplja informacije iz različitih Internet pregledača, softvera i  podrazumijevanih direktorijuma.

 

Krađa podatka

 BlackGuard krade lozinke iz pregledača zasnovanih na Chrome i Gecko platformi, koristeći statičku putanju. Ima mogućnost krađe istorije pretraživanja, lozinki, informacija o automatskom popunjavanju i preuzimanjima datoteka.

Takođe podržava krađu kripto novčanika i drugih osjetljivih datoteka u vezi sa aplikacijama kripto novčanika. Cilja osjetljive podatke u datotekama kao što je wallet.dat  koje sadrže adresu, privatni ključ za pristup adresi i druge podatke. On vrši provjeru podrazumijevane datoteke novčanika u AppData i kopira je u radni direktorijum. Pored toga, ovaj zlonamjerni softver cilja ChromeEdge dodatke za kripto novčanike instalirane u ovim Internet pregledačima.

Nakon što završi prikupljanje informacija, BlackGuard napravi .ZIP svih datoteka i šalje ga komandnom serveru server putem POST zahteva zajedno sa sistemskim informacijama kao što su ID hardvera i država.

steal data

Image by Freepik

Spisak ciljanih aplikacija

Internet pregledači:

Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware.

 

Kripto novčanici:

AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket, Wassabi.

 

Internet pregledač dodaci za kripto novčanike:

Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas wallet, Math wallet, MTV wallet, Rabet wallet, Ronin wallet, Yoroi wallet, ZilPay wallet, Exodus, Terra Station, Jaxx.

 

Klijenti elektronske pošte:

Outlook

 

Aplikacije za razmjenu poruka:

Telegram, Signal, Tox, Element, Pidgin, Discord.

 

Ostale aplikacije:

NordVPN, OpenVPN, ProtonVpn, Totalcomander, Filezilla, WinSCP, Steam.

 

Zaključak

Možda BlackGuard primjena nije toliko rasprostranjena, ali je sve veća prijetnja jer nastavlja da se poboljšava i razvija snažnu reputaciju u podzemnoj zajednici, posebno novim poslovnim modelom zlonamjerni softver kao usluga (MaaS) . Za borbu protiv ovog zlonamjernog softvera i njemu sličnih prijetnji, bezbjednosni timovi treba da pregledaju sav mrežni saobraćaj i koriste alate za zaštitu od zlonamjernog softvera koji uključuju i antivirus (za poznate prijetnje) i sandboxing mogućnosti zaštite (za nepoznate prijetnje).

Korisnici bi trebalo da izbjegavaju preuzimanje izvršnih datoteka sa nepouzdanih Internet lokacija, budu veoma oprezni sa datotekama koje stižu kao prilozi elektronske pošte od nepoznatih pošiljalaca i održavaju sistem i antivirusni softver ažuriranim.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.