Забелязан е нов вариант на BlackGuard, който се отличава с нови възможности, като разпространение през USB, механизми за устойчивост, зареждане на допълнителни товари в паметта и насочване към допълнителни крипто портфейли.
BlackGuard е забелязан за първи път от Zscaler през март 2022 г., който съобщава, че зловредният софтуер се продава на киберпрестъпници в рускоезични форуми като MaaS (malware-as-a-service) за 200 USD/месец или за 700 USD за целия живот на услугата.
Новият stealer се появи малко след като оригиналната операция Raccoon Stealer MaaS беше закрита, като се радваше на добри темпове на приемане и предлагаше широки възможности за таргетиране на приложения.
Тази нова версия на крадеца BlackGuard е открита от анализатори на AT&T, които предупреждават, че зловредният софтуер все още е много активен, като авторите му непрекъснато го подобряват, като поддържат цената на абонамента стабилна.
Обхватът на насоченост на BlackGuard остава широк, като се опитва да открадне бисквитки и идентификационни данни, съхранявани в уеб браузъри, данни от разширения на браузъри за криптовалутни портфейли, данни от десктоп крипто портфейли, информация от приложения за съобщения и игри, имейл клиенти и FTP или VPN инструменти.
Най-интересното в последната версия са въведените нови функции, които превръщат BlackGuard в много по-силна заплаха.
Първо, модулът за отвличане на криптовалутни портфейли (clipper) заменя адресите на криптовалути, копирани в клипборда на Windows, с адреса на субекта на заплахата, надявайки се да пренасочи трансакциите с криптовалути към собствените си портфейли.
Клиперът има твърдо кодирани адреси за Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash и DASH, така че поддържа доста криптовалути.
Втората нова функция е способността на BlackGuard да се разпространява чрез USB памети и други сменяеми устройства и автоматично да заразява всеки нов хост, до който достигне.
Третото допълнение е способността на зловредния софтуер да изтегля допълнителни полезни товари от C2 сървъра и да ги изпълнява директно в паметта на компютъра, в който е проникнато, като използва метода „process hollowing“, като по този начин избягва откриването им от антивирусните инструменти.
Четвъртата нова функция е способността на BlackGuard да се добавя под ключа на регистъра „Run“, като по този начин се запазва между рестартиранията на системата.
И накрая, една функция копира файловете със зловреден софтуер във всяка папка в устройството C:\, като дава на всяко копие на файловете произволно име.
В допълнение към тези функции BlackGuard сега се насочва към 57 разширения за браузъри и портфейли за криптовалути, като се опитва да открадне техните данни и да източи криптоактивите. През август, когато Zscaler анализираше зловредния софтуер, той беше откраднал данни само от 45 разширения и портфейли, свързани с криптовалути.
Някои от целевите разширения включват Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin и Ronin портфейлни разширения. Някои от целевите специализирани портфейли са: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto и LiteCoinCore портфейли.
Анализаторите на AT&T коментират, че тази система за дублиране е по-скоро досадна, отколкото нещо оригинално. Възможно е обаче операторите да са въвели тази система, за да затруднят премахването на зловредния софтуер.
В заключение, последната версия на BlackGuard демонстрира непрекъснатата еволюция на зловредния софтуер, който се конкурира в пространството на MaaS, като добавя предимно значими функции, които представляват още по-сериозен риск за потребителите.
За да запазите риска от заразяване с BlackGuard, избягвайте да изтегляте изпълними файлове от ненадеждни уебсайтове, не стартирайте файлове, пристигащи като прикачени файлове по електронна поща от неизвестни податели, и поддържайте системата и AV инструментите си актуализирани.
Източник: AT&T
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.