BoryptGrab Stealer
BoryptGrab е сложен зловреден софтуер за кражба на информация, предназначен да събира чувствителни данни от компрометирани системи. Заплахата се разпространява предимно чрез измамни хранилища на GitHub и подвеждащи страници за изтегляне, които рекламират безплатни софтуерни инструменти. Тези злонамерени страници са създадени така, че да изглеждат легитимни, което увеличава вероятността нищо неподозиращи потребители да изтеглят и изпълняват заразените файлове.
В определени вериги от атаки, BoryptGrab доставя и допълнителен злонамерен компонент, известен като TunnesshClient, задна вратичка, която позволява отдалечен достъп и по-нататъшна експлоатация на заразеното устройство. След като бъде открит в системата, BoryptGrab или всяка свързана с него заплаха трябва да бъде премахната незабавно, за да се предотврати допълнителна кражба на данни или компрометиране на системата.
Съдържание
Техники за избягване и ескалация на привилегиите
Преди да задейства основния си полезен товар, BoryptGrab извършва няколко проверки, предназначени да заобиколят изследователите по сигурността и автоматизираните среди за анализ. Зловредният софтуер проверява системните файлове и настройките за конфигурация, за да определи дали работи във виртуална машина. Такива среди често се използват от анализатори по сигурността и откриването им позволява на зловредния софтуер да промени поведението си или да спре изпълнението.
В допълнение към откриването на виртуални машини, зловредният софтуер сканира активни процеси, за да идентифицира известни инструменти за анализ или отстраняване на грешки. Ако тези инструменти бъдат открити, злонамерената дейност може да бъде потисната, за да се избегне разкриване. Друга важна стъпка в процеса на заразяване включва опити за получаване на администраторски права, позволяващи на зловредния софтуер да има достъп до защитени системни области и да извлича по-широк набор от чувствителна информация.
Възможности за събиране на данни от браузъра
Основна цел на BoryptGrab е събирането на чувствителна информация, съхранявана в уеб браузъри. Зловредният софтуер е насочен към множество широко използвани браузъри, включително Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi и Yandex Browser.
Видовете информация, извлечена от тези браузъри, обикновено включват данни за вход, данни за автоматично попълване, история на сърфиране и други съхранени лични данни. За да подпомогне този процес, BoryptGrab изтегля специализиран инструмент, базиран на Chromium, който позволява ефективно извличане на данни от браузъра. Това значително увеличава обема на информацията, която може да бъде открадната от компрометирана система.
Криптовалутни портфейли под атака
Криптовалутните активи са друга основна цел на BoryptGrab. Зловредният софтуер търси локално съхранени данни, свързани с портфейли с криптовалута за настолни компютри и разширения на браузъра, свързани с управлението на цифрови активи. Чрез извличане на данни от портфейли, нападателите могат да получат достъп до или да прехвърлят съхранени средства.
Зловредният софтуер е насочен специално към широк спектър от приложения за портфейли и свързани услуги, включително:
- Портфейл Armory
- Атомна
- АтомикДЕКС
- Бинанс
- Bitcoin Core
- БитПей
- Блокстрийм Грийн
- Портфейл Чиа
- Койноми
- Доплащане
- Главната мрежа на Дедал
- Dash Core
- Догекойн
- Електронни пари в брой
- Електрум
- ElectrumLTC
- Етериум
- Изход
- Зелен адрес
- Гуарда
- Jaxx Desktop
- Комодо портфейл
- Леджър на живо
- Портфейл Ledger
- Ядро на Litecoin
- MEW Desktop
- Мултидодж
- МоятЕтерПортфейл
- Портфейл СЕГА
- Гарван Ядро
- StakeCube
- Трезор Суит
- Портфейл с уасаби
Наличието на такъв обширен списък подчертава силния фокус на зловредния софтуер върху финансовите кражби.
Разширено събиране на данни и извличане
Освен браузъри и портфейли с криптовалута, BoryptGrab събира допълнителни данни от заразената система. Зловредният софтуер търси в общи директории файлове със специфични разширения, които могат да съдържат ценна информация. Приложения за съобщения и други комуникационни платформи също са цел на атаките.
Събраните данни могат да включват Telegram файлове, съхранени пароли на браузъра и, в по-новите варианти на зловредния софтуер, Discord токени за удостоверяване. След завършване на фазата на събиране на данни, BoryptGrab прави екранна снимка на работния плот на жертвата и компилира обща системна информация за компрометираната машина. Всички събрани данни след това се компресират в архив и се предават на сървър, контролиран от нападателите.
TunnesshClient Backdoor: Дистанционно управление и тунелиране на трафика
Някои версии на BoryptGrab внедряват допълнителен зловреден инструмент, известен като TunnesshClient, въпреки че тази функция не е налична във всеки вариант. TunnesshClient е базирана на Python задна врата, която предоставя на атакуващите възможности за дистанционно изпълнение на команди.
Чрез тази задна вратичка, киберпрестъпниците могат да издават команди директно към заразената система. Инструментът също така позволява пренасочване на мрежов трафик чрез обратна SSH връзка, което позволява на атакуващите да маршрутизират интернет активността през компрометираното устройство. Тази функционалност може да се използва за скриване на злонамерени операции, провеждане на допълнителни атаки или поддържане на дългосрочна устойчивост в мрежата на жертвата.
Последици от инфекция с BoryptGrab
Успешното компрометиране на BoryptGrab може да доведе до тежки последици за жертвите. Открадната информация често включва идентификационни данни, лични данни и данни за портфейли с криптовалута, които могат да бъдат незабавно използвани от киберпрестъпниците.
Често срещани последици от подобна атака включват:
- Финансови загуби, произтичащи от открадната криптовалута или компрометирани финансови сметки
- Кражба на самоличност поради изтичане на лични данни или данни за удостоверяване
- Откраднати онлайн акаунти, като например имейл, социални медии или платформи за съобщения
- Вторични инфекции, причинени от допълнителни компоненти на злонамерен софтуер
Предвид тези рискове, незабавното премахване на зловредния софтуер от заразените устройства е от съществено значение, за да се ограничат по-нататъшните щети.
Вектор на инфекцията: Злонамерени страници в GitHub и изтегляния на фалшив софтуер
Стратегията за разпространение на BoryptGrab разчита до голяма степен на социално инженерство и манипулиране на надеждни платформи за разработка. Киберпрестъпниците създават публични хранилища в GitHub, които изглеждат като легитимни софтуерни проекти. Тези хранилища често съдържат документация, файлове и описания, предназначени да имитират автентични инструменти.
За да увеличат максимално видимостта, нападателите използват техники за оптимизация за търсачки, за да издигнат своите злонамерени хранилища и GitHub страници по-високо в резултатите от търсенето. Потребителите, които търсят софтуерни инструменти, кракнати програми или инструменти за игри, могат да срещнат тези злонамерени страници близо до горната част на резултатите от търсенето.
След като дадено хранилище бъде отворено, потребителите обикновено биват пренасочвани към професионално проектиран уебсайт, който имитира автентична страница за изтегляне на софтуер. Тези страници често рекламират кодове за игри, кракнати програми, FPS бустери или помощни програми, които твърдят, че модифицират или изтеглят приложения като Filmora или Voicemod.
Сайтът предоставя ZIP архив, който се преструва, че съдържа инсталатора на софтуера. Когато архивът бъде изтеглен и включените файлове бъдат изпълнени, злонамереният полезен товар се активира и започва процесът на заразяване с BoryptGrab.
