Ny Infostealer Malware distribueret på Dark Web
Russiske underjordiske fora for hacking har altid været grobund for distribution af malware. Sikkerhedsforskere har først for nylig opdaget en ny stamme af malware, der sælges på et af disse fora.
Den nye malware fungerer som en infostealer og går under navnet BlackGuard. Malwaren blev opdaget af sikkerhedsforskere med cloudsikkerhedsfirmaet zScaler. De fandt ud af, at BlackGuard sælges på en malware-as-a-service basis, hvor forfatterne opkræver et månedligt gebyr på $200 for dets brug.
BlackGuard sælges både som en service og som et engangskøb
Ud over det månedlige "abonnements" gebyr for malware tilbyder forfatterne også et engangskøb på forhånd på $700, hvilket giver livslang adgang. Dette virker som en mærkelig beslutning i betragtning af hvor dyrt det månedlige abonnement er i sammenligning.
BlackGuard kommer med al den funktionalitet, du ville forvente af en infostealer. Det kan skrabe adgangskoder, autofyld formulardata, browserhistorik og cookies samt beskedhistorik gemt i apps som Discord, Telegram og Element. Malwaren er også i stand til at målrette tegnebogsfiler, der indeholder en række kryptovalutaer, inklusive Ethereum og Bitcoin.
Ifølge zScaler udvikles infostealeren stadig aktivt, men den kan allerede prale af en række funktioner for at gøre den mere attraktiv for potentielle tilknyttede selskaber eller købere. BlackGuard har allerede slørings- og anti-fejlretningsfunktioner indbygget i det for at få infosec-forskere til at arbejde hårdere på det.
BlackGuard undgår mål placeret i CIS-lande
Det er ikke så svært at forestille sig, hvad oprindelsen af malwaren er, i betragtning af at den kontrollerer oprindelseslandet for det system, det lander på, og hvis det er Rusland eller en af de tidligere sovjetrepublikker, samlet omtalt som Commonwealth of Independent States, processen afsluttes simpelthen af sig selv.
Infostealeren skraber alle data, den kan finde på målsystemet, pakker derefter alt sammen i en arkivfil og sender den indsamlede information over til dens kommando- og kontrolservere ved hjælp af HTTP POST-anmodninger.
Mens der er andre, mere funktionsrige og mere populære infostealere derude, advarer forskere om, at BlackGuard vinder frem og bør følges nøje, fordi det snart kan vokse til en farligere trussel.