Нов злонамерен софтуер за кражба на информация, разпространяван в Dark Web

Руските хакерски подземни форуми винаги са били благодатна почва за разпространение на зловреден софтуер. Изследователите по сигурността едва наскоро откриха нов вид злонамерен софтуер, който се продава на един от тези форуми.

Новият зловреден софтуер действа като крадец на информация и се нарича BlackGuard . Зловредният софтуер е забелязан от изследователи по сигурността с компанията за облачна сигурност zScaler. Те откриха, че BlackGuard се продава на базата на злонамерен софтуер като услуга, като авторите начисляват 200 долара месечна такса за използването му.

BlackGuard се продава както като услуга, така и като еднократна покупка

В допълнение към месечната такса за „абонамент“ за злонамерения софтуер, авторите предлагат и еднократна предварителна покупка от $700, като предоставят достъп до живот. Това изглежда като любопитно решение, като се има предвид колко скъп е месечният абонамент в сравнение.

BlackGuard идва с цялата функционалност, която бихте очаквали от крадец на информация. Той може да изстъргва пароли, данни за автоматично попълване на формуляри, история на браузъра и бисквитки, както и история на съобщенията, запазени в приложения като Discord, Telegram и Element. Зловредният софтуер също може да се насочи към файлове на портфейла, съдържащи редица криптовалути , включително Ethereum и Bitcoin.

Според zScaler, информационният крадец все още се разработва активно, но вече може да се похвали с редица функции, които да го направят по-привлекателен за потенциални партньори или купувачи. BlackGuard вече има вградени в него възможности за обфускация и отстраняване на грешки, за да накара изследователя на infosec да работи по-трудно върху него.

BlackGuard избягва цели, разположени в страните от ОНД

Не е твърде трудно да си представим какъв е произходът на зловредния софтуер, като се има предвид, че той проверява държавата на произход на системата, в която попада, и дали това е Русия или някоя от бившите съветски републики, общо наричани Общността на независимите държави, процесът просто се прекратява.

Инфокрадецът изстъргва всички данни, които може да намери в целевата система, след това пакетира всичко в архивен файл и изпраща събраната информация до своите командни и контролни сървъри, като използва HTTP POST заявки.

Въпреки че има други, по-богати на функции и по-популярни крадци на информация, изследователите предупреждават, че BlackGuard набира сила и трябва да бъде наблюдаван внимателно, защото скоро може да прерасне в по-опасна заплаха.