Търсене
Close this search box.

Забелязан е нов вариант на  BlackGuard, който се отличава с нови възможности, като разпространение през USB, механизми за устойчивост, зареждане на допълнителни товари в паметта и насочване към допълнителни крипто портфейли.

BlackGuard е забелязан за първи път от Zscaler през март 2022 г., който съобщава, че зловредният софтуер се продава на киберпрестъпници в рускоезични форуми като MaaS (malware-as-a-service) за 200 USD/месец или за 700 USD за целия живот на услугата.

Новият stealer се появи малко след като оригиналната операция Raccoon Stealer MaaS беше закрита, като се радваше на добри темпове на приемане и предлагаше широки възможности за таргетиране на приложения.

Тази нова версия на крадеца BlackGuard е открита от анализатори на AT&T, които предупреждават, че зловредният софтуер все още е много активен, като авторите му непрекъснато го подобряват, като поддържат цената на абонамента стабилна.

Нови функции на BlackGuard

Обхватът на насоченост на BlackGuard остава широк, като се опитва да открадне бисквитки и идентификационни данни, съхранявани в уеб браузъри, данни от разширения на браузъри за криптовалутни портфейли, данни от десктоп крипто портфейли, информация от приложения за съобщения и игри, имейл клиенти и FTP или VPN инструменти.

Най-интересното в последната версия са въведените нови функции, които превръщат BlackGuard в много по-силна заплаха.

Първо, модулът за отвличане на криптовалутни портфейли (clipper) заменя адресите на криптовалути, копирани в клипборда на Windows, с адреса на субекта на заплахата, надявайки се да пренасочи трансакциите с криптовалути към собствените си портфейли.

Клиперът има твърдо кодирани адреси за Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash и DASH, така че поддържа доста криптовалути.

Втората нова функция е способността на BlackGuard да се разпространява чрез USB памети и други сменяеми устройства и автоматично да заразява всеки нов хост, до който достигне.

Третото допълнение е способността на зловредния софтуер да изтегля допълнителни полезни товари от C2 сървъра и да ги изпълнява директно в паметта на компютъра, в който е проникнато, като използва метода „process hollowing“, като по този начин избягва откриването им от антивирусните инструменти.

Четвъртата нова функция е способността на BlackGuard да се добавя под ключа на регистъра „Run“, като по този начин се запазва между рестартиранията на системата.

И накрая, една функция копира файловете със зловреден софтуер във всяка папка в устройството C:\, като дава на всяко копие на файловете произволно име.

В допълнение към тези функции BlackGuard сега се насочва към 57 разширения за браузъри и портфейли за криптовалути, като се опитва да открадне техните данни и да източи криптоактивите. През август, когато Zscaler анализираше зловредния софтуер, той беше откраднал данни само от 45 разширения и портфейли, свързани с криптовалути.

Някои от целевите разширения включват Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin и Ronin портфейлни разширения. Някои от целевите специализирани портфейли са: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto и LiteCoinCore портфейли.

Анализаторите на AT&T коментират, че тази система за дублиране е по-скоро досадна, отколкото нещо оригинално. Възможно е обаче операторите да са въвели тази система, за да затруднят премахването на зловредния софтуер.

В заключение, последната версия на BlackGuard демонстрира непрекъснатата еволюция на зловредния софтуер, който се конкурира в пространството на MaaS, като добавя предимно значими функции, които представляват още по-сериозен риск за потребителите.

За да запазите риска от заразяване с BlackGuard, избягвайте да изтегляте изпълними файлове от ненадеждни уебсайтове, не стартирайте файлове, пристигащи като прикачени файлове по електронна поща от неизвестни податели, и поддържайте системата и AV инструментите си актуализирани.

Източник: AT&T 

Източник: По материали от Интернет

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
17 септември 2024

Тактики за скриване под радара на киберпрестъпн...

Киберсигурността е игра на котка и мишка, в която нападатели и защи...
Бъдете социални
Още по темата
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!