Търсене
Close this search box.

BlackGuard вече е насочен към 57 крипто портфейла

Забелязан е нов вариант на  BlackGuard, който се отличава с нови възможности, като разпространение през USB, механизми за устойчивост, зареждане на допълнителни товари в паметта и насочване към допълнителни крипто портфейли.

BlackGuard е забелязан за първи път от Zscaler през март 2022 г., който съобщава, че зловредният софтуер се продава на киберпрестъпници в рускоезични форуми като MaaS (malware-as-a-service) за 200 USD/месец или за 700 USD за целия живот на услугата.

Новият stealer се появи малко след като оригиналната операция Raccoon Stealer MaaS беше закрита, като се радваше на добри темпове на приемане и предлагаше широки възможности за таргетиране на приложения.

Тази нова версия на крадеца BlackGuard е открита от анализатори на AT&T, които предупреждават, че зловредният софтуер все още е много активен, като авторите му непрекъснато го подобряват, като поддържат цената на абонамента стабилна.

Нови функции на BlackGuard

Обхватът на насоченост на BlackGuard остава широк, като се опитва да открадне бисквитки и идентификационни данни, съхранявани в уеб браузъри, данни от разширения на браузъри за криптовалутни портфейли, данни от десктоп крипто портфейли, информация от приложения за съобщения и игри, имейл клиенти и FTP или VPN инструменти.

Най-интересното в последната версия са въведените нови функции, които превръщат BlackGuard в много по-силна заплаха.

Първо, модулът за отвличане на криптовалутни портфейли (clipper) заменя адресите на криптовалути, копирани в клипборда на Windows, с адреса на субекта на заплахата, надявайки се да пренасочи трансакциите с криптовалути към собствените си портфейли.

Клиперът има твърдо кодирани адреси за Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash и DASH, така че поддържа доста криптовалути.

Втората нова функция е способността на BlackGuard да се разпространява чрез USB памети и други сменяеми устройства и автоматично да заразява всеки нов хост, до който достигне.

Третото допълнение е способността на зловредния софтуер да изтегля допълнителни полезни товари от C2 сървъра и да ги изпълнява директно в паметта на компютъра, в който е проникнато, като използва метода „process hollowing“, като по този начин избягва откриването им от антивирусните инструменти.

Четвъртата нова функция е способността на BlackGuard да се добавя под ключа на регистъра „Run“, като по този начин се запазва между рестартиранията на системата.

И накрая, една функция копира файловете със зловреден софтуер във всяка папка в устройството C:\, като дава на всяко копие на файловете произволно име.

В допълнение към тези функции BlackGuard сега се насочва към 57 разширения за браузъри и портфейли за криптовалути, като се опитва да открадне техните данни и да източи криптоактивите. През август, когато Zscaler анализираше зловредния софтуер, той беше откраднал данни само от 45 разширения и портфейли, свързани с криптовалути.

Някои от целевите разширения включват Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin и Ronin портфейлни разширения. Някои от целевите специализирани портфейли са: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto и LiteCoinCore портфейли.

Анализаторите на AT&T коментират, че тази система за дублиране е по-скоро досадна, отколкото нещо оригинално. Възможно е обаче операторите да са въвели тази система, за да затруднят премахването на зловредния софтуер.

В заключение, последната версия на BlackGuard демонстрира непрекъснатата еволюция на зловредния софтуер, който се конкурира в пространството на MaaS, като добавя предимно значими функции, които представляват още по-сериозен риск за потребителите.

За да запазите риска от заразяване с BlackGuard, избягвайте да изтегляте изпълними файлове от ненадеждни уебсайтове, не стартирайте файлове, пристигащи като прикачени файлове по електронна поща от неизвестни податели, и поддържайте системата и AV инструментите си актуализирани.

Източник: AT&T 

Източник: По материали от Интернет

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
14/05/2024

Цифровият живот след смъртт...

Специалистите по етика на изкуствения интелект...
12/05/2024

CISA: рансъмуерът Black Bas...

CISA и ФБР съобщиха днес, че...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!