Lladre de BoryptGrab

BoryptGrab és un programari maliciós sofisticat que roba informació i està dissenyat per recol·lectar dades sensibles de sistemes compromesos. L'amenaça es propaga principalment a través de repositoris fraudulents de GitHub i pàgines de descàrrega enganyoses que promocionen eines de programari gratuïtes. Aquestes pàgines malicioses estan dissenyades per semblar legítimes, cosa que augmenta la probabilitat que usuaris desprevinguts descarreguin i executin els fitxers infectats.

En certes cadenes d'atac, BoryptGrab també proporciona un component maliciós addicional conegut com a TunneshClient, una porta del darrere que permet l'accés remot i una major explotació del dispositiu infectat. Un cop detectat en un sistema, BoryptGrab o qualsevol amenaça relacionada s'ha d'eliminar immediatament per evitar més robatoris de dades o comprometre el sistema.

Tècniques d’evasió i escalada de privilegis

Abans d'iniciar la seva càrrega útil principal, BoryptGrab realitza diverses comprovacions dissenyades per evadir els investigadors de seguretat i els entorns d'anàlisi automatitzats. El programari maliciós inspecciona els fitxers del sistema i els paràmetres de configuració per determinar si s'està executant dins d'una màquina virtual. Aquests entorns són utilitzats habitualment pels analistes de seguretat, i detectar-los permet al programari maliciós alterar el seu comportament o aturar l'execució.

A més de la detecció de màquines virtuals, el programari maliciós escaneja els processos actius per identificar eines d'anàlisi o depuració conegudes. Si es detecten aquestes eines, l'activitat maliciosa es pot suprimir per evitar l'exposició. Un altre pas important en el procés d'infecció implica els intents d'obtenir privilegis administratius, cosa que permet al programari maliciós accedir a àrees protegides del sistema i extreure una gamma més àmplia d'informació confidencial.

Capacitats de recopilació de dades del navegador

Un objectiu principal de BoryptGrab és la recopilació d'informació sensible emmagatzemada als navegadors web. El programari maliciós té com a objectiu nombrosos navegadors àmpliament utilitzats, com ara Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi i Yandex Browser.

Els tipus d'informació que s'extreuen d'aquests navegadors solen incloure credencials d'inici de sessió, dades d'emplenament automàtic, historial de navegació i altres dades personals emmagatzemades. Per ajudar en aquest procés, BoryptGrab descarrega una eina especialitzada basada en Chromium que permet l'extracció eficient de dades del navegador. Això augmenta significativament el volum d'informació que es pot robar d'un sistema compromès.

Carteres de criptomonedes sota atac

Els actius de criptomoneda són un altre objectiu important de BoryptGrab. El programari maliciós busca dades emmagatzemades localment relacionades amb moneders de criptomoneda d'escriptori i extensions de navegador associades amb la gestió d'actius digitals. En extraure dades de moneders, els atacants poden obtenir la capacitat d'accedir o transferir fons emmagatzemats.

El programari maliciós té com a objectiu específic una àmplia gamma d'aplicacions de cartera i serveis relacionats, com ara:

• Cartera Armory
• Atòmic
• AtomicDEX
• Binance
• Bitcoin Core
• BitPay
• Blockstream Green
• Cartera Chia
• Coinomi
• Copagament
• Xarxa principal de Daedalus
• Nucli del tauler de control
• Dogecoin
• Efectiu electrònic
• Electrum
• ElectrumLTC
• Ethereum
• Èxode
• GreenAddress
• Guarda
• Jaxx Desktop
• Moneder Komodo
• Ledger Live
• Cartera Ledger
• Nucli de Litecoin
• Escriptori MEW
• MultiDoge
• MyEtherWallet
• NOW Wallet
• Nucli de Raven
• StakeCube
• Suite Trezor
• Cartera Wasabi

La presència d'una llista tan extensa destaca el fort enfocament del programari maliciós en el robatori financer.

Recopilació i exfiltració de dades ampliades

A més dels navegadors i les carteres de criptomonedes, BoryptGrab recopila dades addicionals del sistema infectat. El programari maliciós busca en directoris comuns fitxers amb extensions específiques que poden contenir informació valuosa. També s'hi ataquen aplicacions de missatgeria i altres plataformes de comunicació.

Les dades recollides poden incloure fitxers de Telegram, contrasenyes de navegador emmagatzemades i, en variants més noves del programari maliciós, tokens d'autenticació de Discord. Després de completar la fase de recollida de dades, BoryptGrab fa una captura de pantalla de l'escriptori de la víctima i recopila informació general del sistema sobre la màquina compromesa. Totes les dades recollides es comprimeixen en un arxiu i es transmeten a un servidor controlat pels atacants.

Porta posterior de TunnesshClient: control remot i tunelització de trànsit

Algunes versions de BoryptGrab implementen una eina maliciosa addicional coneguda com a TunnesshClient, tot i que aquesta característica no està present en totes les variants. TunnesshClient és una porta del darrere basada en Python que proporciona als atacants capacitats d'execució remota d'ordres.

A través d'aquesta porta del darrere, els ciberdelinqüents poden emetre ordres directament al sistema infectat. L'eina també permet el reenviament del trànsit de xarxa a través d'una connexió SSH inversa, cosa que permet als atacants encaminar l'activitat d'Internet a través del dispositiu compromès. Aquesta funcionalitat es pot utilitzar per ocultar operacions malicioses, dur a terme més atacs o mantenir la persistència a llarg termini dins de la xarxa de la víctima.

Conseqüències d’una infecció per BoryptGrab

Una vulneració reeixida de BoryptGrab pot tenir greus conseqüències per a les víctimes. La informació robada sovint inclou credencials, dades personals i detalls de moneders de criptomonedes, que poden ser explotats immediatament pels ciberdelinqüents.

Els impactes comuns d'un atac d'aquest tipus inclouen:

• Pèrdues financeres derivades del robatori de criptomonedes o de comptes financers compromesos
• Robatori d'identitat a causa de la filtració de dades personals o d'autenticació
• Comptes en línia segrestats com ara correu electrònic, xarxes socials o plataformes de missatgeria
• Infeccions secundàries a través de components addicionals de programari maliciós

Donats aquests riscos, l'eliminació immediata del programari maliciós dels dispositius infectats és essencial per limitar més danys.

Vector d’infecció: pàgines malicioses de GitHub i descàrregues de programari falses

L'estratègia de distribució que hi ha darrere de BoryptGrab es basa en gran mesura en l'enginyeria social i la manipulació de plataformes de desenvolupament de confiança. Els ciberdelinqüents creen repositoris públics de GitHub que semblen allotjar projectes de programari legítims. Aquests repositoris sovint contenen documentació, fitxers i descripcions dissenyats per imitar eines autèntiques.

Per maximitzar la visibilitat, els atacants utilitzen tècniques d'optimització de motors de cerca per impulsar els seus repositoris maliciosos i les pàgines de GitHub més amunt als resultats de cerca. Per tant, els usuaris que cerquin utilitats de programari, programes piratejats o eines de joc poden trobar aquestes pàgines malicioses a prop de la part superior dels resultats de cerca.

Un cop obert un repositori, els usuaris solen ser redirigits a un lloc web dissenyat professionalment que imita una pàgina de descàrrega de programari autèntica. Aquestes pàgines sovint anuncien trucs per a jocs, programes piratejats, potenciadors d'FPS o utilitats que afirmen modificar o descarregar aplicacions com ara Filmora o Voicemod.

El lloc web proporciona en última instància un arxiu ZIP que pretén contenir l'instal·lador del programari. Quan es descarrega l'arxiu i s'executen els fitxers inclosos, s'activa la càrrega maliciosa i comença el procés d'infecció de BoryptGrab.