عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد سارقون BoryptGrab Stealer

BoryptGrab Stealer

بواسطة Mezo في سارقون, التهديد المستمر المتقدم (APT)
ترجمة الى:

BoryptGrab هو برنامج خبيث متطور لسرقة المعلومات، مصمم لاستخراج البيانات الحساسة من الأنظمة المخترقة. ينتشر هذا التهديد بشكل أساسي عبر مستودعات GitHub الاحتيالية وصفحات التنزيل الخادعة التي تروج لأدوات برمجية مجانية. صُممت هذه الصفحات الخبيثة لتبدو شرعية، مما يزيد من احتمالية قيام المستخدمين غير المتنبهين بتنزيل الملفات المصابة وتشغيلها.

في بعض سلاسل الهجمات، يُضيف برنامج BoryptGrab مكونًا خبيثًا إضافيًا يُعرف باسم TunnesshClient، وهو عبارة عن باب خلفي يُتيح الوصول عن بُعد واستغلال الجهاز المُصاب بشكلٍ أكبر. بمجرد اكتشافه على النظام، يجب إزالة BoryptGrab أو أي تهديد ذي صلة على الفور لمنع سرقة المزيد من البيانات أو اختراق النظام.

أساليب التهرب وتصعيد الامتيازات

قبل بدء تنفيذ حمولتها الرئيسية، يُجري برنامج BoryptGrab الخبيث عدة فحوصات مصممة لتجنب باحثي الأمن وبيئات التحليل الآلي. يفحص البرنامج ملفات النظام وإعدادات التكوين لتحديد ما إذا كان يعمل داخل جهاز افتراضي. تُستخدم هذه البيئات عادةً من قِبل محللي الأمن، واكتشافها يسمح للبرنامج الخبيث بتغيير سلوكه أو إيقاف تنفيذه.

إضافةً إلى كشف الأجهزة الافتراضية، يفحص البرنامج الخبيث العمليات النشطة لتحديد أدوات التحليل أو تصحيح الأخطاء المعروفة. وفي حال اكتشاف هذه الأدوات، قد يتم كبح النشاط الخبيث لتجنب انكشافه. وتتضمن خطوة أخرى مهمة في عملية الإصابة محاولات الحصول على صلاحيات إدارية، مما يسمح للبرنامج الخبيث بالوصول إلى مناطق النظام المحمية واستخراج نطاق أوسع من المعلومات الحساسة.

إمكانيات جمع البيانات من المتصفح

يتمثل أحد الأهداف الرئيسية لبرنامج BoryptGrab الخبيث في جمع المعلومات الحساسة المخزنة في متصفحات الويب. يستهدف هذا البرنامج الخبيث العديد من المتصفحات واسعة الانتشار، بما في ذلك متصفح Brave، ومتصفح CentBrowser، ومتصفح Chromium، ومتصفح Google Chrome، ومتصفح Microsoft Edge، ومتصفح Mozilla Firefox، ومتصفح Opera، ومتصفح Vivaldi، ومتصفح Yandex.

تشمل أنواع المعلومات المستخرجة من هذه المتصفحات عادةً بيانات تسجيل الدخول، وبيانات التعبئة التلقائية، وسجل التصفح، وغيرها من البيانات الشخصية المخزنة. وللمساعدة في هذه العملية، يقوم برنامج BoryptGrab بتنزيل أداة متخصصة تعتمد على Chromium، مما يُمكّن من استخراج بيانات المتصفح بكفاءة. وهذا يزيد بشكل كبير من حجم المعلومات التي يمكن سرقتها من النظام المخترق.

محافظ العملات المشفرة تتعرض للهجوم

تُعدّ أصول العملات المشفرة هدفًا رئيسيًا آخر لبرنامج BoryptGrab الخبيث. يبحث هذا البرنامج عن البيانات المخزنة محليًا والمتعلقة بمحافظ العملات المشفرة على أجهزة الكمبيوتر المكتبية، بالإضافة إلى ملحقات المتصفح المرتبطة بإدارة الأصول الرقمية. ومن خلال استخراج بيانات المحفظة، قد يتمكن المهاجمون من الوصول إلى الأموال المخزنة أو تحويلها.

يستهدف البرنامج الخبيث على وجه التحديد مجموعة واسعة من تطبيقات المحافظ الإلكترونية والخدمات ذات الصلة، بما في ذلك:

  • محفظة أرموري
  • الذري
  • أتوميك ديكس
  • بينانس
  • بيتكوين كور
  • BitPay
  • بلوكستريم جرين
  • محفظة بذور الشيا
  • كوينومي
  • الدفع المشترك
  • شبكة ديدالوس الرئيسية
  • داش كور
  • دوجكوين
  • إلكترون كاش
  • إلكتروم
  • إلكتروم إل تي سي
  • إيثيريوم
  • الخروج
  • العنوان الأخضر
  • غواردا
  • سطح مكتب Jaxx
  • محفظة كومودو
  • ليدجر لايف
  • محفظة ليدجر
  • لايتكوين كور
  • سطح مكتب MEW
  • مالتي دوج
  • محفظة إيثر الخاصة بي
  • محفظة ناو
  • رايفن كور
  • ستيك كيوب
  • تريزور سويت
  • محفظة واسابي

إن وجود مثل هذه القائمة الواسعة يسلط الضوء على تركيز البرامج الضارة القوي على السرقة المالية.

توسيع نطاق جمع البيانات واستخراجها

إلى جانب المتصفحات ومحافظ العملات الرقمية، يجمع برنامج BoryptGrab الخبيث بيانات إضافية من النظام المصاب. يبحث هذا البرنامج في المجلدات الشائعة عن ملفات ذات امتدادات محددة قد تحتوي على معلومات قيّمة. كما يستهدف تطبيقات المراسلة ومنصات التواصل الأخرى.

قد تتضمن البيانات التي يتم جمعها ملفات تيليجرام، وكلمات مرور المتصفح المحفوظة، وفي الإصدارات الأحدث من البرمجية الخبيثة، رموز مصادقة ديسكورد. بعد إتمام مرحلة جمع البيانات، يلتقط برنامج BoryptGrab لقطة شاشة لسطح مكتب الضحية، ويجمع معلومات عامة عن نظام الجهاز المخترق. ثم تُضغط جميع البيانات التي تم جمعها في أرشيف، وتُرسل إلى خادم يتحكم به المهاجمون.

باب خلفي لبرنامج TunnesshClient: التحكم عن بعد وتوجيه حركة البيانات عبر الأنفاق

تستخدم بعض إصدارات برنامج BoryptGrab أداة خبيثة إضافية تُعرف باسم TunnesshClient، مع العلم أن هذه الميزة غير موجودة في جميع الإصدارات. TunnesshClient عبارة عن باب خلفي مبني على لغة بايثون، يمنح المهاجمين القدرة على تنفيذ الأوامر عن بُعد.

من خلال هذه الثغرة، يستطيع مجرمو الإنترنت إصدار أوامر مباشرة إلى النظام المصاب. كما تُمكّن الأداة من إعادة توجيه حركة مرور الشبكة عبر اتصال SSH عكسي، مما يسمح للمهاجمين بتوجيه نشاط الإنترنت عبر الجهاز المخترق. ويمكن استخدام هذه الخاصية لإخفاء العمليات الخبيثة، أو شنّ هجمات أخرى، أو الحفاظ على وجودهم لفترة طويلة داخل شبكة الضحية.

عواقب الإصابة ببكتيريا BoryptGrab

قد يؤدي اختراق ناجح لمنصة BoryptGrab إلى عواقب وخيمة على الضحايا. غالبًا ما تتضمن المعلومات المسروقة بيانات اعتماد وبيانات شخصية وتفاصيل محافظ العملات المشفرة، والتي قد يستغلها مجرمو الإنترنت على الفور.

تشمل الآثار الشائعة لمثل هذا الهجوم ما يلي:

  • الخسائر المالية الناتجة عن سرقة العملات المشفرة أو اختراق الحسابات المالية
  • سرقة الهوية بسبب تسريب البيانات الشخصية أو بيانات المصادقة
  • الحسابات الإلكترونية المخترقة مثل البريد الإلكتروني أو وسائل التواصل الاجتماعي أو منصات المراسلة
  • تنتقل العدوى الثانوية عبر مكونات برمجيات خبيثة إضافية.

ونظراً لهذه المخاطر، فإن الإزالة الفورية للبرامج الضارة من الأجهزة المصابة أمر ضروري للحد من المزيد من الضرر.

ناقل العدوى: صفحات GitHub الخبيثة وتنزيلات البرامج المزيفة

تعتمد استراتيجية توزيع برنامج BoryptGrab الخبيث بشكل كبير على الهندسة الاجتماعية والتلاعب بمنصات التطوير الموثوقة. يقوم مجرمو الإنترنت بإنشاء مستودعات عامة على منصة GitHub تبدو وكأنها تستضيف مشاريع برمجية شرعية. غالبًا ما تحتوي هذه المستودعات على وثائق وملفات وأوصاف مصممة لتقليد الأدوات الأصلية.

لزيادة فرص ظهورها، يستخدم المهاجمون تقنيات تحسين محركات البحث لرفع مستوى ظهور مستودعاتهم الخبيثة وصفحات GitHub الخاصة بهم في نتائج البحث. وبالتالي، قد يجد المستخدمون الذين يبحثون عن برامج مساعدة أو برامج مقرصنة أو أدوات ألعاب هذه الصفحات الخبيثة في أعلى نتائج البحث.

بمجرد فتح المستودع، يُعاد توجيه المستخدمين عادةً إلى موقع ويب مصمم باحترافية يُحاكي صفحة تنزيل برامج أصلية. غالبًا ما تُعلن هذه الصفحات عن برامج غش للألعاب، أو برامج مقرصنة، أو مُحسّنات معدل الإطارات، أو أدوات تدّعي تعديل أو تنزيل تطبيقات مثل Filmora أو Voicemod.

يُقدّم الموقع في النهاية ملفًا مضغوطًا بصيغة ZIP يُوهم بأنه يحتوي على مُثبّت البرنامج. عند تنزيل الملف المضغوط وتشغيل الملفات المُضمّنة فيه، يتم تفعيل الحمولة الخبيثة وتبدأ عملية الإصابة ببرنامج BoryptGrab الخبيث.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
21,503
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...