BlackGuard вече е насочен към 57 крипто портфейла

Забелязан е нов вариант на  BlackGuard, който се отличава с нови възможности, като разпространение през USB, механизми за устойчивост, зареждане на допълнителни товари в паметта и насочване към допълнителни крипто портфейли.

BlackGuard е забелязан за първи път от Zscaler през март 2022 г., който съобщава, че зловредният софтуер се продава на киберпрестъпници в рускоезични форуми като MaaS (malware-as-a-service) за 200 USD/месец или за 700 USD за целия живот на услугата.

Новият stealer се появи малко след като оригиналната операция Raccoon Stealer MaaS беше закрита, като се радваше на добри темпове на приемане и предлагаше широки възможности за таргетиране на приложения.

Тази нова версия на крадеца BlackGuard е открита от анализатори на AT&T, които предупреждават, че зловредният софтуер все още е много активен, като авторите му непрекъснато го подобряват, като поддържат цената на абонамента стабилна.

Нови функции на BlackGuard

Обхватът на насоченост на BlackGuard остава широк, като се опитва да открадне бисквитки и идентификационни данни, съхранявани в уеб браузъри, данни от разширения на браузъри за криптовалутни портфейли, данни от десктоп крипто портфейли, информация от приложения за съобщения и игри, имейл клиенти и FTP или VPN инструменти.

Най-интересното в последната версия са въведените нови функции, които превръщат BlackGuard в много по-силна заплаха.

Първо, модулът за отвличане на криптовалутни портфейли (clipper) заменя адресите на криптовалути, копирани в клипборда на Windows, с адреса на субекта на заплахата, надявайки се да пренасочи трансакциите с криптовалути към собствените си портфейли.

Клиперът има твърдо кодирани адреси за Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash и DASH, така че поддържа доста криптовалути.

Втората нова функция е способността на BlackGuard да се разпространява чрез USB памети и други сменяеми устройства и автоматично да заразява всеки нов хост, до който достигне.

Третото допълнение е способността на зловредния софтуер да изтегля допълнителни полезни товари от C2 сървъра и да ги изпълнява директно в паметта на компютъра, в който е проникнато, като използва метода „process hollowing“, като по този начин избягва откриването им от антивирусните инструменти.

Четвъртата нова функция е способността на BlackGuard да се добавя под ключа на регистъра „Run“, като по този начин се запазва между рестартиранията на системата.

И накрая, една функция копира файловете със зловреден софтуер във всяка папка в устройството C:\, като дава на всяко копие на файловете произволно име.

В допълнение към тези функции BlackGuard сега се насочва към 57 разширения за браузъри и портфейли за криптовалути, като се опитва да открадне техните данни и да източи криптоактивите. През август, когато Zscaler анализираше зловредния софтуер, той беше откраднал данни само от 45 разширения и портфейли, свързани с криптовалути.

Някои от целевите разширения включват Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin и Ronin портфейлни разширения. Някои от целевите специализирани портфейли са: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto и LiteCoinCore портфейли.

Анализаторите на AT&T коментират, че тази система за дублиране е по-скоро досадна, отколкото нещо оригинално. Възможно е обаче операторите да са въвели тази система, за да затруднят премахването на зловредния софтуер.

В заключение, последната версия на BlackGuard демонстрира непрекъснатата еволюция на зловредния софтуер, който се конкурира в пространството на MaaS, като добавя предимно значими функции, които представляват още по-сериозен риск за потребителите.

За да запазите риска от заразяване с BlackGuard, избягвайте да изтегляте изпълними файлове от ненадеждни уебсайтове, не стартирайте файлове, пристигащи като прикачени файлове по електронна поща от неизвестни податели, и поддържайте системата и AV инструментите си актуализирани.

Източник: AT&T 

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
25 септември 2023

Хакери от Gelsemium са забелязани при атака сре...

При атаките, насочени към правителство в Югоизточна Азия, които про...
Бъдете социални
Още по темата
25/09/2023

Акаунтът на Буретин в X беш...

Хакери компрометират акаунта на Виталик Буретин...
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
Последно добавени
27/09/2023

Излязоха резултатите от оце...

Задълбочените, независими тестове са жизненоважен ресурс...
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!