Zloděj BoryptGrabů
BoryptGrab je sofistikovaný malware kradející informace, jehož cílem je shromažďovat citlivá data z napadených systémů. Hrozba se šíří především prostřednictvím podvodných repozitářů GitHub a klamavých stránek pro stahování, které propagují bezplatné softwarové nástroje. Tyto škodlivé stránky jsou vytvořeny tak, aby vypadaly legitimně, což zvyšuje pravděpodobnost, že si nic netušící uživatelé stáhnou a spustí infikované soubory.
V určitých útočných řetězcích BoryptGrab také dodává další škodlivou komponentu známou jako TunnesshClient, což jsou zadní vrátka, která umožňují vzdálený přístup a další zneužití infikovaného zařízení. Jakmile je BoryptGrab nebo jakákoli související hrozba detekována v systému, musí být okamžitě odstraněna, aby se zabránilo další krádeži dat nebo kompromitaci systému.
Obsah
Techniky úniku a eskalace privilegií
Před spuštěním své hlavní části provádí BoryptGrab několik kontrol, jejichž cílem je vyhnout se bezpečnostním výzkumníkům a automatizovaným analytickým prostředím. Malware kontroluje systémové soubory a konfigurační nastavení, aby zjistil, zda běží uvnitř virtuálního počítače. Taková prostředí běžně používají bezpečnostní analytici a jejich detekce umožňuje malwaru změnit jeho chování nebo zastavit jeho provádění.
Kromě detekce virtuálních strojů malware skenuje aktivní procesy, aby identifikoval známé analytické nebo ladicí nástroje. Pokud jsou tyto nástroje detekovány, může být škodlivá aktivita potlačena, aby se zabránilo odhalení. Dalším důležitým krokem v procesu infekce jsou pokusy o získání administrátorských oprávnění, která malwaru umožňují přístup k chráněným oblastem systému a extrahování širší škály citlivých informací.
Možnosti sběru dat z prohlížeče
Primárním cílem BoryptGrabu je shromažďování citlivých informací uložených ve webových prohlížečích. Malware cílí na řadu široce používaných prohlížečů, včetně Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi a Yandex Browser.
Mezi typy informací extrahovaných z těchto prohlížečů obvykle patří přihlašovací údaje, data automatického vyplňování, historie prohlížení a další uložené osobní údaje. Pro usnadnění tohoto procesu si BoryptGrab stahuje specializovaný nástroj založený na prohlížeči Chromium, který umožňuje efektivní extrakci dat z prohlížeče. To výrazně zvyšuje objem informací, které lze z napadeného systému ukrást.
Kryptoměnové peněženky pod útokem
Dalším hlavním cílem BoryptGrabu jsou kryptoměnová aktiva. Malware vyhledává lokálně uložená data související s kryptoměnovými peněženkami pro stolní počítače a rozšířeními prohlížečů spojenými se správou digitálních aktiv. Extrakcí dat z peněženek mohou útočníci získat přístup k uloženým finančním prostředkům nebo je převést.
Malware se konkrétně zaměřuje na širokou škálu aplikací peněženek a souvisejících služeb, včetně:
- Peněženka Armory
- Atomový
- AtomicDEX
- Binance
- Bitcoinové jádro
- BitPay
- Blockstream Green
- Peněženka Chia
- Coinomi
- Spoluúčast
- Hlavní síť Daedalus
- Jádro Dashu
- Dogecoin
- Elektronická hotovost
- Elektrum
- ElectrumLTC
- Ethereum
- Exodus
- Zelená adresa
- Guarda
- Jaxx Desktop
- Peněženka Komodo
- Ledger Live
- Peněženka Ledger
- Jádro Litecoinu
- MEW Desktop
- MultiDoge
- Moje peněženka EtherWallet
- Peněženka NYNÍ
- Raven Core
- StakeCube
- Apartmá Trezor
- Peněženka s wasabi
Přítomnost tak rozsáhlého seznamu zdůrazňuje silné zaměření malwaru na finanční krádeže.
Rozšířený sběr a exfiltrace dat
Kromě prohlížečů a kryptoměnových peněženek shromažďuje BoryptGrab z infikovaného systému i další data. Malware prohledává běžné adresáře a hledá soubory se specifickými příponami, které mohou obsahovat cenné informace. Cílem jsou také aplikace pro zasílání zpráv a další komunikační platformy.
Shromážděná data mohou zahrnovat soubory Telegramu, uložená hesla prohlížeče a v novějších variantách malwaru i autentizační tokeny Discordu. Po dokončení fáze sběru dat BoryptGrab pořídí snímek obrazovky plochy oběti a shromáždí obecné systémové informace o napadeném počítači. Všechna shromážděná data jsou poté komprimována do archivu a odeslána na server ovládaný útočníky.
TunnesshClient Backdoor: Vzdálené ovládání a tunelování provozu
Některé verze BoryptGrabu nasazují další škodlivý nástroj známý jako TunnesshClient, ačkoli tato funkce není přítomna ve všech variantách. TunnesshClient je backdoor založený na Pythonu, který útočníkům poskytuje možnosti vzdáleného spouštění příkazů.
Prostřednictvím těchto zadních vrátek mohou kyberzločinci vydávat příkazy přímo do infikovaného systému. Nástroj také umožňuje přesměrování síťového provozu prostřednictvím zpětného SSH připojení, což útočníkům umožňuje směrovat internetovou aktivitu přes napadené zařízení. Tuto funkci lze použít ke skrytí škodlivých operací, provádění dalších útoků nebo k dlouhodobému udržení provozu v síti oběti.
Důsledky infekce BoryptGrab
Úspěšný útok na BoryptGrab může mít pro oběti vážné následky. Ukradené informace často zahrnují přihlašovací údaje, osobní údaje a podrobnosti o kryptoměnových peněženkách, které mohou kyberzločinci okamžitě zneužít.
Mezi běžné dopady takového útoku patří:
- Finanční ztráty vyplývající z odcizení kryptoměny nebo ohrožení finančních účtů
- Krádež identity v důsledku úniku osobních nebo ověřovacích údajů
- Zneuctění online účtů, jako jsou e-maily, sociální média nebo platformy pro zasílání zpráv
- Sekundární infekce způsobené dalšími komponentami malwaru
Vzhledem k těmto rizikům je okamžité odstranění malwaru z infikovaných zařízení nezbytné pro omezení dalšího poškození.
Vektor infekce: Škodlivé stránky GitHubu a stahování falešného softwaru
Distribuční strategie BoryptGrab se silně opírá o sociální inženýrství a manipulaci s důvěryhodnými vývojovými platformami. Kyberzločinci vytvářejí veřejné repozitáře GitHub, které zdánlivě hostují legitimní softwarové projekty. Tyto repozitáře často obsahují dokumentaci, soubory a popisy navržené tak, aby napodobovaly autentické nástroje.
Aby maximalizovali viditelnost, útočníci používají techniky optimalizace pro vyhledávače, aby posunuli své škodlivé repozitáře a stránky GitHubu výše ve výsledcích vyhledávání. Uživatelé, kteří hledají softwarové nástroje, cracknuty programy nebo herní nástroje, se proto mohou s těmito škodlivými stránkami setkat v horní části výsledků vyhledávání.
Jakmile je repozitář otevřen, uživatelé jsou obvykle přesměrováni na profesionálně navrženou webovou stránku, která napodobuje autentickou stránku pro stahování softwaru. Tyto stránky často inzerují herní cheaty, cracknuty programy, FPS boostery nebo nástroje, které tvrdí, že upravují nebo stahují aplikace, jako je Filmora nebo Voicemod.
Stránka nakonec poskytuje ZIP archiv, který předstírá, že obsahuje instalační program softwaru. Po stažení archivu a spuštění přiložených souborů se aktivuje škodlivý obsah a spustí se proces infekce BoryptGrab.
