Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κλέφτες BoryptGrab Stealer

BoryptGrab Stealer

Μέχρι το Mezo το Κλέφτες, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Το BoryptGrab είναι ένα εξελιγμένο κακόβουλο λογισμικό κλοπής πληροφοριών που έχει σχεδιαστεί για να συλλέγει ευαίσθητα δεδομένα από παραβιασμένα συστήματα. Η απειλή εξαπλώνεται κυρίως μέσω δόλιων αποθετηρίων GitHub και παραπλανητικών σελίδων λήψης που προωθούν δωρεάν εργαλεία λογισμικού. Αυτές οι κακόβουλες σελίδες έχουν σχεδιαστεί για να φαίνονται νόμιμες, αυξάνοντας την πιθανότητα οι ανυποψίαστοι χρήστες να κατεβάσουν και να εκτελέσουν τα μολυσμένα αρχεία.

Σε ορισμένες αλυσίδες επιθέσεων, το BoryptGrab παρέχει επίσης ένα επιπλέον κακόβουλο στοιχείο γνωστό ως TunnesshClient, ένα backdoor που επιτρέπει την απομακρυσμένη πρόσβαση και περαιτέρω εκμετάλλευση της μολυσμένης συσκευής. Μόλις εντοπιστεί σε ένα σύστημα, το BoryptGrab ή οποιαδήποτε σχετική απειλή πρέπει να αφαιρεθεί αμέσως για να αποτραπεί περαιτέρω κλοπή δεδομένων ή παραβίαση του συστήματος.

Τεχνικές αποφυγής και κλιμάκωση προνομίων

Πριν από την εκκίνηση του κύριου φορτίου του, το BoryptGrab εκτελεί αρκετούς ελέγχους που έχουν σχεδιαστεί για να αποφεύγουν τους ερευνητές ασφαλείας και τα αυτοματοποιημένα περιβάλλοντα ανάλυσης. Το κακόβουλο λογισμικό ελέγχει τα αρχεία συστήματος και τις ρυθμίσεις διαμόρφωσης για να διαπιστώσει εάν εκτελείται μέσα σε μια εικονική μηχανή. Τέτοια περιβάλλοντα χρησιμοποιούνται συνήθως από τους αναλυτές ασφαλείας και η ανίχνευσή τους επιτρέπει στο κακόβουλο λογισμικό να αλλάξει τη συμπεριφορά του ή να σταματήσει την εκτέλεση.

Εκτός από την ανίχνευση εικονικών μηχανών, το κακόβουλο λογισμικό σαρώνει ενεργές διεργασίες για να εντοπίσει γνωστά εργαλεία ανάλυσης ή εντοπισμού σφαλμάτων. Εάν εντοπιστούν αυτά τα εργαλεία, η κακόβουλη δραστηριότητα ενδέχεται να κατασταλεί για να αποφευχθεί η έκθεση. Ένα άλλο σημαντικό βήμα στη διαδικασία μόλυνσης περιλαμβάνει τις προσπάθειες απόκτησης δικαιωμάτων διαχειριστή, επιτρέποντας στο κακόβουλο λογισμικό να έχει πρόσβαση σε προστατευμένες περιοχές του συστήματος και να εξάγει ένα ευρύτερο φάσμα ευαίσθητων πληροφοριών.

Δυνατότητες συλλογής δεδομένων προγράμματος περιήγησης

Ένας πρωταρχικός στόχος του BoryptGrab είναι η συλλογή ευαίσθητων πληροφοριών που είναι αποθηκευμένες σε προγράμματα περιήγησης ιστού. Το κακόβουλο λογισμικό στοχεύει πολλά ευρέως χρησιμοποιούμενα προγράμματα περιήγησης, όπως τα Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi και Yandex Browser.

Οι τύποι πληροφοριών που εξάγονται από αυτά τα προγράμματα περιήγησης συνήθως περιλαμβάνουν διαπιστευτήρια σύνδεσης, δεδομένα αυτόματης συμπλήρωσης, ιστορικό περιήγησης και άλλα αποθηκευμένα προσωπικά δεδομένα. Για να βοηθήσει σε αυτήν τη διαδικασία, το BoryptGrab κατεβάζει ένα εξειδικευμένο εργαλείο που βασίζεται στο Chromium και επιτρέπει την αποτελεσματική εξαγωγή δεδομένων προγράμματος περιήγησης. Αυτό αυξάνει σημαντικά τον όγκο των πληροφοριών που μπορούν να κλαπούν από ένα παραβιασμένο σύστημα.

Τα πορτοφόλια κρυπτονομισμάτων υπό επίθεση

Τα περιουσιακά στοιχεία κρυπτονομισμάτων αποτελούν έναν άλλο σημαντικό στόχο του BoryptGrab. Το κακόβουλο λογισμικό αναζητά τοπικά αποθηκευμένα δεδομένα που σχετίζονται με πορτοφόλια κρυπτονομισμάτων για υπολογιστές και επεκτάσεις προγράμματος περιήγησης που σχετίζονται με τη διαχείριση ψηφιακών περιουσιακών στοιχείων. Εξάγοντας δεδομένα πορτοφολιού, οι εισβολείς ενδέχεται να αποκτήσουν τη δυνατότητα πρόσβασης ή μεταφοράς αποθηκευμένων κεφαλαίων.

Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα ένα ευρύ φάσμα εφαρμογών πορτοφολιού και σχετικών υπηρεσιών, όπως:

  • Πορτοφόλι Armory
  • Ατομικός
  • AtomicDEX
  • Binance
  • Πυρήνας Bitcoin
  • BitPay
  • Πράσινο Blockstream
  • Πορτοφόλι Chia
  • Κοινόμι
  • Copay
  • Δαίδαλος Mainnet
  • Πυρήνας Dash
  • Ντόγκεκοϊν
  • Ηλεκτρονικά Μετρητά
  • Ήλεκτρο
  • ElectrumLTC
  • Ethereum
  • Εξοδος πλήθους
  • Πράσινη Διεύθυνση
  • Γκουάρντα
  • Jaxx Desktop
  • Πορτοφόλι Komodo
  • Ledger Live
  • Πορτοφόλι Ledger
  • Πυρήνας Litecoin
  • MEW Desktop
  • MultiDoge
  • MyEtherWallet
  • Πορτοφόλι NOW
  • Κορώνα Κορώνα
  • StakeCube
  • Σουίτα Trezor
  • Πορτοφόλι Wasabi

Η παρουσία μιας τόσο εκτενούς λίστας υπογραμμίζει την έντονη εστίαση του κακόβουλου λογισμικού στην οικονομική κλοπή.

Εκτεταμένη Συλλογή και Εξαγωγή Δεδομένων

Πέρα από τα προγράμματα περιήγησης και τα πορτοφόλια κρυπτονομισμάτων, το BoryptGrab συλλέγει πρόσθετα δεδομένα από το μολυσμένο σύστημα. Το κακόβουλο λογισμικό αναζητά σε κοινούς καταλόγους αρχεία με συγκεκριμένες επεκτάσεις που ενδέχεται να περιέχουν πολύτιμες πληροφορίες. Στοχοποιούνται επίσης εφαρμογές ανταλλαγής μηνυμάτων και άλλες πλατφόρμες επικοινωνίας.

Τα δεδομένα που συλλέγονται μπορεί να περιλαμβάνουν αρχεία Telegram, αποθηκευμένους κωδικούς πρόσβασης προγράμματος περιήγησης και, σε νεότερες παραλλαγές του κακόβουλου λογισμικού, διακριτικά ελέγχου ταυτότητας Discord. Μετά την ολοκλήρωση της φάσης συλλογής δεδομένων, το BoryptGrab καταγράφει ένα στιγμιότυπο οθόνης της επιφάνειας εργασίας του θύματος και συγκεντρώνει γενικές πληροφορίες συστήματος σχετικά με το παραβιασμένο μηχάνημα. Όλα τα δεδομένα που συλλέγονται στη συνέχεια συμπιέζονται σε ένα αρχείο και μεταδίδονται σε έναν διακομιστή που ελέγχεται από τους εισβολείς.

TunnesshClient Backdoor: Τηλεχειριστήριο και Διοχέτευση Κυκλοφορίας

Ορισμένες εκδόσεις του BoryptGrab αναπτύσσουν ένα επιπλέον κακόβουλο εργαλείο γνωστό ως TunnesshClient, αν και αυτή η λειτουργία δεν υπάρχει σε κάθε παραλλαγή. Το TunnesshClient είναι ένα backdoor που βασίζεται σε Python και παρέχει στους εισβολείς δυνατότητες εκτέλεσης εντολών από απόσταση.

Μέσω αυτής της «κερκόπορτας», οι κυβερνοεγκληματίες μπορούν να εκδίδουν εντολές απευθείας στο μολυσμένο σύστημα. Το εργαλείο επιτρέπει επίσης την προώθηση της κυκλοφορίας δικτύου μέσω μιας αντίστροφης σύνδεσης SSH, επιτρέποντας στους εισβολείς να δρομολογούν τη δραστηριότητα του διαδικτύου μέσω της παραβιασμένης συσκευής. Αυτή η λειτουργικότητα μπορεί να χρησιμοποιηθεί για την απόκρυψη κακόβουλων λειτουργιών, τη διεξαγωγή περαιτέρω επιθέσεων ή τη διατήρηση μακροπρόθεσμης παραμονής στο δίκτυο του θύματος.

Συνέπειες μιας μόλυνσης από BoryptGrab

Μια επιτυχημένη παραβίαση του BoryptGrab μπορεί να οδηγήσει σε σοβαρές συνέπειες για τα θύματα. Οι κλεμμένες πληροφορίες συχνά περιλαμβάνουν διαπιστευτήρια, προσωπικά δεδομένα και στοιχεία πορτοφολιού κρυπτονομισμάτων, τα οποία ενδέχεται να αξιοποιηθούν άμεσα από τους κυβερνοεγκληματίες.

Οι συνήθεις επιπτώσεις μιας τέτοιας επίθεσης περιλαμβάνουν:

  • Οικονομικές απώλειες που προκύπτουν από κλοπή κρυπτονομισμάτων ή παραβίαση χρηματοοικονομικών λογαριασμών
  • Κλοπή ταυτότητας λόγω διαρροής προσωπικών δεδομένων ή δεδομένων ελέγχου ταυτότητας
  • Παραβιασμένοι διαδικτυακοί λογαριασμοί, όπως email, μέσα κοινωνικής δικτύωσης ή πλατφόρμες ανταλλαγής μηνυμάτων
  • Δευτερογενείς μολύνσεις που μεταδίδονται μέσω πρόσθετων στοιχείων κακόβουλου λογισμικού

Δεδομένων αυτών των κινδύνων, η άμεση αφαίρεση του κακόβουλου λογισμικού από τις μολυσμένες συσκευές είναι απαραίτητη για τον περιορισμό περαιτέρω ζημιών.

Διάνυσμα μόλυνσης: Κακόβουλες σελίδες GitHub και ψεύτικες λήψεις λογισμικού

Η στρατηγική διανομής πίσω από το BoryptGrab βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική και τον χειρισμό αξιόπιστων πλατφορμών ανάπτυξης. Οι κυβερνοεγκληματίες δημιουργούν δημόσια αποθετήρια GitHub που φαίνεται να φιλοξενούν νόμιμα έργα λογισμικού. Αυτά τα αποθετήρια συχνά περιέχουν τεκμηρίωση, αρχεία και περιγραφές που έχουν σχεδιαστεί για να μιμούνται αυθεντικά εργαλεία.

Για να μεγιστοποιήσουν την ορατότητα, οι εισβολείς χρησιμοποιούν τεχνικές βελτιστοποίησης μηχανών αναζήτησης για να προωθήσουν τα κακόβουλα αποθετήρια και τις σελίδες GitHub υψηλότερα στα αποτελέσματα αναζήτησης. Οι χρήστες που αναζητούν βοηθητικά προγράμματα λογισμικού, παραβιασμένα προγράμματα ή εργαλεία παιχνιδιών ενδέχεται επομένως να συναντήσουν αυτές τις κακόβουλες σελίδες κοντά στην κορυφή των αποτελεσμάτων αναζήτησης.

Μόλις ανοιχτεί ένα αποθετήριο, οι χρήστες συνήθως ανακατευθύνονται σε έναν επαγγελματικά σχεδιασμένο ιστότοπο που μιμείται μια αυθεντική σελίδα λήψης λογισμικού. Αυτές οι σελίδες συχνά διαφημίζουν cheats παιχνιδιών, crack προγράμματα, ενισχυτές FPS ή βοηθητικά προγράμματα που ισχυρίζονται ότι τροποποιούν ή κατεβάζουν εφαρμογές όπως το Filmora ή το Voicemod.

Ο ιστότοπος παρέχει τελικά ένα αρχείο ZIP που προσποιείται ότι περιέχει το πρόγραμμα εγκατάστασης λογισμικού. Όταν ολοκληρωθεί η λήψη του αρχείου και εκτελεστούν τα αρχεία που περιλαμβάνονται, ενεργοποιείται το κακόβουλο ωφέλιμο φορτίο και ξεκινά η διαδικασία μόλυνσης από το BoryptGrab.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
21,503
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...