BoryptGrab Stjæler
BoryptGrab er en sofistikeret informationsstjælende malware designet til at indsamle følsomme data fra kompromitterede systemer. Truslen spredes primært gennem falske GitHub-lagre og vildledende downloadsider, der promoverer gratis softwareværktøjer. Disse ondsindede sider er designet til at virke legitime, hvilket øger sandsynligheden for, at intetanende brugere vil downloade og køre de inficerede filer.
I visse angrebskæder leverer BoryptGrab også en yderligere ondsindet komponent kendt som TunnesshClient, en bagdør, der muliggør fjernadgang og yderligere udnyttelse af den inficerede enhed. Når BoryptGrab eller en relateret trussel opdages på et system, skal den fjernes øjeblikkeligt for at forhindre yderligere datatyveri eller systemkompromittering.
Indholdsfortegnelse
Undgåelsesteknikker og privilegieteskalering
Før den starter sin primære nyttelast, udfører BoryptGrab adskillige kontroller, der er designet til at omgå sikkerhedseksperter og automatiserede analysemiljøer. Malwaren inspicerer systemfiler og konfigurationsindstillinger for at afgøre, om den kører inde i en virtuel maskine. Sådanne miljøer bruges ofte af sikkerhedsanalytikere, og detektering af dem gør det muligt for malwaren at ændre sin adfærd eller stoppe udførelsen.
Ud over detektion af virtuelle maskiner scanner malwaren aktive processer for at identificere kendte analyse- eller fejlfindingsværktøjer. Hvis disse værktøjer detekteres, kan den skadelige aktivitet undertrykkes for at undgå eksponering. Et andet vigtigt trin i infektionsprocessen involverer forsøg på at opnå administratorrettigheder, hvilket giver malwaren adgang til beskyttede systemområder og udtrækker en bredere vifte af følsomme oplysninger.
Funktioner til indsamling af browserdata
Et primært mål for BoryptGrab er at indsamle følsomme oplysninger, der er gemt i webbrowsere. Malwaren er rettet mod adskillige udbredte browsere, herunder Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi og Yandex Browser.
De typer af information, der udtrækkes fra disse browsere, omfatter typisk loginoplysninger, autofyldningsdata, browserhistorik og andre gemte personlige data. For at hjælpe med denne proces downloader BoryptGrab et specialiseret Chromium-baseret værktøj, der muliggør effektiv udtrækning af browserdata. Dette øger mængden af information, der kan stjæles fra et kompromitteret system, betydeligt.
Kryptovaluta-tegnebøger under angreb
Kryptovalutaaktiver er et andet vigtigt mål for BoryptGrab. Malwaren søger efter lokalt lagrede data relateret til kryptovaluta-wallets til stationære computere og browserudvidelser, der er forbundet med digital aktivstyring. Ved at udtrække wallet-data kan angribere få adgang til eller overføre lagrede midler.
Malwaren er specifikt rettet mod en bred vifte af tegnebogsapplikationer og relaterede tjenester, herunder:
- Armory-pung
- Atomar
- AtomicDEX
- Binance
- Bitcoin Core
- BitPay
- Blockstream Green
- Chia-pung
- Coinomi
- Medbetaling
- Daedalus Mainnet
- Dash Core
- Dogecoin
- Elektronisk kontant
- Elektrum
- ElectrumLTC
- Ethereum
- Anden Mosebog
- Grøn Adresse
- Guarda
- Jaxx Desktop
- Komodo-pung
- Ledger Live
- Ledger-tegnebog
- Litecoin Core
- MEW Desktop
- MultiDoge
- MyEtherWallet
- NU Pung
- Ravn Core
- StakeCube
- Trezor-suiten
- Wasabi-pung
Tilstedeværelsen af en så omfattende liste fremhæver malwarens stærke fokus på økonomisk tyveri.
Udvidet dataindsamling og -eksfiltrering
Ud over browsere og kryptovaluta-wallets indsamler BoryptGrab yderligere data fra det inficerede system. Malwaren søger i almindelige mapper efter filer med specifikke filtypenavne, der kan indeholde værdifulde oplysninger. Beskedapplikationer og andre kommunikationsplatforme er også målrettet.
De indsamlede data kan omfatte Telegram-filer, gemte browseradgangskoder og, i nyere varianter af malwaren, Discord-godkendelsestokens. Efter at have afsluttet dataindsamlingsfasen tager BoryptGrab et skærmbillede af offerets skrivebord og samler generelle systemoplysninger om den kompromitterede maskine. Alle indsamlede data komprimeres derefter til et arkiv og overføres til en server, der kontrolleres af angriberne.
TunnesshClient-bagdør: Fjernbetjening og trafiktunneling
Nogle versioner af BoryptGrab anvender et ekstra skadeligt værktøj kaldet TunneshClient, selvom denne funktion ikke findes i alle varianter. TunneshClient er en Python-baseret bagdør, der giver angribere mulighed for fjernudførelse af kommandoer.
Gennem denne bagdør kan cyberkriminelle udstede kommandoer direkte til det inficerede system. Værktøjet muliggør også videresendelse af netværkstrafik via en omvendt SSH-forbindelse, hvilket giver angribere mulighed for at dirigere internetaktivitet gennem den kompromitterede enhed. Denne funktionalitet kan bruges til at skjule ondsindede handlinger, udføre yderligere angreb eller opretholde langvarig persistens i offerets netværk.
Konsekvenser af en BoryptGrab-infektion
Et vellykket BoryptGrab-angreb kan føre til alvorlige konsekvenser for ofrene. De stjålne oplysninger omfatter ofte loginoplysninger, personlige data og oplysninger om kryptovaluta-wallets, som øjeblikkeligt kan udnyttes af cyberkriminelle.
Almindelige konsekvenser af et sådant angreb inkluderer:
- Finansielle tab som følge af stjålet kryptovaluta eller kompromitterede finansielle konti
- Identitetstyveri på grund af lækkede personlige data eller autentificeringsdata
- Kaprede onlinekonti såsom e-mail, sociale medier eller beskedplatforme
- Sekundære infektioner leveret via yderligere malware-komponenter
I betragtning af disse risici er øjeblikkelig fjernelse af malware fra inficerede enheder afgørende for at begrænse yderligere skade.
Infektionsvektor: Ondsindede GitHub-sider og falske softwaredownloads
Distributionsstrategien bag BoryptGrab er i høj grad afhængig af social engineering og manipulation af betroede udviklingsplatforme. Cyberkriminelle opretter offentlige GitHub-lagre, der ser ud til at være vært for legitime softwareprojekter. Disse lagre indeholder ofte dokumentation, filer og beskrivelser, der er designet til at efterligne autentiske værktøjer.
For at maksimere synligheden bruger angribere søgemaskineoptimeringsteknikker til at få deres ondsindede arkiver og GitHub-sider højere op i søgeresultaterne. Brugere, der søger efter softwareværktøjer, crackede programmer eller spilværktøjer, kan derfor støde på disse ondsindede sider nær toppen af søgeresultaterne.
Når et arkiv åbnes, bliver brugerne typisk omdirigeret til et professionelt designet websted, der imiterer en autentisk softwaredownloadside. Disse sider reklamerer ofte for spilsnydekoder, crackede programmer, FPS-boostere eller værktøjer, der hævder at ændre eller downloade programmer som Filmora eller Voicemod.
Webstedet leverer i sidste ende et ZIP-arkiv, der foregiver at indeholde softwareinstallationsprogrammet. Når arkivet downloades, og de inkluderede filer køres, aktiveres den skadelige nyttelast, og BoryptGrab-infektionsprocessen begynder.
