Забелязан е нов вариант на  BlackGuard, който се отличава с нови възможности, като разпространение през USB, механизми за устойчивост, зареждане на допълнителни товари в паметта и насочване към допълнителни крипто портфейли.

BlackGuard е забелязан за първи път от Zscaler през март 2022 г., който съобщава, че зловредният софтуер се продава на киберпрестъпници в рускоезични форуми като MaaS (malware-as-a-service) за 200 USD/месец или за 700 USD за целия живот на услугата.

Новият stealer се появи малко след като оригиналната операция Raccoon Stealer MaaS беше закрита, като се радваше на добри темпове на приемане и предлагаше широки възможности за таргетиране на приложения.

Тази нова версия на крадеца BlackGuard е открита от анализатори на AT&T, които предупреждават, че зловредният софтуер все още е много активен, като авторите му непрекъснато го подобряват, като поддържат цената на абонамента стабилна.

Нови функции на BlackGuard

Обхватът на насоченост на BlackGuard остава широк, като се опитва да открадне бисквитки и идентификационни данни, съхранявани в уеб браузъри, данни от разширения на браузъри за криптовалутни портфейли, данни от десктоп крипто портфейли, информация от приложения за съобщения и игри, имейл клиенти и FTP или VPN инструменти.

Най-интересното в последната версия са въведените нови функции, които превръщат BlackGuard в много по-силна заплаха.

Първо, модулът за отвличане на криптовалутни портфейли (clipper) заменя адресите на криптовалути, копирани в клипборда на Windows, с адреса на субекта на заплахата, надявайки се да пренасочи трансакциите с криптовалути към собствените си портфейли.

Клиперът има твърдо кодирани адреси за Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash и DASH, така че поддържа доста криптовалути.

Втората нова функция е способността на BlackGuard да се разпространява чрез USB памети и други сменяеми устройства и автоматично да заразява всеки нов хост, до който достигне.

Третото допълнение е способността на зловредния софтуер да изтегля допълнителни полезни товари от C2 сървъра и да ги изпълнява директно в паметта на компютъра, в който е проникнато, като използва метода „process hollowing“, като по този начин избягва откриването им от антивирусните инструменти.

Четвъртата нова функция е способността на BlackGuard да се добавя под ключа на регистъра „Run“, като по този начин се запазва между рестартиранията на системата.

И накрая, една функция копира файловете със зловреден софтуер във всяка папка в устройството C:\, като дава на всяко копие на файловете произволно име.

В допълнение към тези функции BlackGuard сега се насочва към 57 разширения за браузъри и портфейли за криптовалути, като се опитва да открадне техните данни и да източи криптоактивите. През август, когато Zscaler анализираше зловредния софтуер, той беше откраднал данни само от 45 разширения и портфейли, свързани с криптовалути.

Някои от целевите разширения включват Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin и Ronin портфейлни разширения. Някои от целевите специализирани портфейли са: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto и LiteCoinCore портфейли.

Анализаторите на AT&T коментират, че тази система за дублиране е по-скоро досадна, отколкото нещо оригинално. Възможно е обаче операторите да са въвели тази система, за да затруднят премахването на зловредния софтуер.

В заключение, последната версия на BlackGuard демонстрира непрекъснатата еволюция на зловредния софтуер, който се конкурира в пространството на MaaS, като добавя предимно значими функции, които представляват още по-сериозен риск за потребителите.

За да запазите риска от заразяване с BlackGuard, избягвайте да изтегляте изпълними файлове от ненадеждни уебсайтове, не стартирайте файлове, пристигащи като прикачени файлове по електронна поща от неизвестни податели, и поддържайте системата и AV инструментите си актуализирани.

Източник: AT&T