Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Varastajad BoryptGrabi varastaja

BoryptGrabi varastaja

Aastaks Mezo aastal Varastajad, Täiustatud püsiv oht (APT)
Tõlgi:

BoryptGrab on keerukas infovarastusprogramm, mis on loodud tundlike andmete kogumiseks ohustatud süsteemidest. Oht levib peamiselt petturlike GitHubi repositooriumide ja eksitavate allalaadimislehtede kaudu, mis reklaamivad tasuta tarkvaratööriistu. Need pahatahtlikud lehed on loodud näima legitiimsed, suurendades tõenäosust, et pahaaimamatud kasutajad laadivad nakatunud failid alla ja käivitavad need.

Teatud rünnakuahelates edastab BoryptGrab ka täiendava pahatahtliku komponendi nimega TunnesshClient, mis on tagauks, mis võimaldab nakatunud seadmele kaugjuurdepääsu ja selle edasist ärakasutamist. Kui BoryptGrab või muu sellega seotud oht süsteemis tuvastatakse, tuleb see viivitamatult eemaldada, et vältida edasist andmevargust või süsteemi ohtu sattumist.

Varjamistehnikad ja privileegide eskaleerimine

Enne oma põhikoormuse käivitamist teeb BoryptGrab mitu kontrolli, mis on loodud turvauurijate ja automatiseeritud analüüsikeskkondade vältimiseks. Pahavara kontrollib süsteemifaile ja konfiguratsiooniseadeid, et teha kindlaks, kas see töötab virtuaalmasinas. Selliseid keskkondi kasutavad sageli turvaanalüütikud ja nende tuvastamine võimaldab pahavaral oma käitumist muuta või selle täitmise peatada.

Lisaks virtuaalmasinate tuvastamisele skannib pahavara aktiivseid protsesse, et tuvastada teadaolevaid analüüsi- või silumistööriistu. Kui need tööriistad tuvastatakse, saab pahatahtliku tegevuse alla suruda, et vältida kokkupuudet. Teine oluline samm nakatumisprotsessis hõlmab katseid saada administraatoriõigusi, mis võimaldavad pahavaral pääseda juurde kaitstud süsteemipiirkondadele ja hankida laiemat valikut tundlikku teavet.

Brauseri andmete kogumise võimalused

BoryptGrabi peamine eesmärk on veebibrauserites talletatud tundliku teabe kogumine. Pahavara sihib arvukalt laialdaselt kasutatavaid brausereid, sealhulgas Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi ja Yandex Browser.

Nendest brauseritest ekstraheeritud teabe hulka kuuluvad tavaliselt sisselogimisandmed, automaatse täitmise andmed, sirvimisajalugu ja muud salvestatud isikuandmed. Selle protsessi abistamiseks laadib BoryptGrab alla spetsiaalse Chromiumi-põhise tööriista, mis võimaldab brauseriandmeid tõhusalt ekstraheerida. See suurendab oluliselt ohustatud süsteemist varastatava teabe hulka.

Krüptovaluuta rahakotid rünnaku all

Krüptovaluutad on BoryptGrabi teine peamine sihtmärk. Pahavara otsib kohalikult salvestatud andmeid, mis on seotud lauaarvuti krüptovaluuta rahakottide ja digitaalse vara haldamisega seotud brauseri laiendustega. Rahakoti andmete hankimise abil võivad ründajad saada juurdepääsu salvestatud rahale või seda üle kanda.

Pahavara on suunatud laia valiku rahakotirakenduste ja nendega seotud teenuste vastu, sealhulgas:

  • Relvastuse rahakott
  • Aatomiline
  • AtomicDEX
  • Binance
  • Bitcoini tuum
  • BitPay
  • Blockstream Green
  • Chia rahakott
  • Coinomi
  • Kaasmakse
  • Daedalus Mainnet
  • Kriipsu tuum
  • Dogecoin
  • Elektronraha
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Väljasõda
  • Roheline Aadress
  • Guarda
  • Jaxx Desktop
  • Komodo rahakott
  • Ledger Live
  • Pearaamatu rahakott
  • Litecoini tuum
  • MEW töölaud
  • MultiDoge
  • MyEtherWallet
  • NOW rahakott
  • Raven Core
  • StakeCube
  • Trezori sviit
  • Wasabi rahakott

Nii ulatusliku nimekirja olemasolu rõhutab pahavara tugevat keskendumist finantsvargustele.

Laiendatud andmete kogumine ja väljafiltreerimine

Lisaks brauseritele ja krüptovaluuta rahakottidele kogub BoryptGrab nakatunud süsteemist lisateavet. Pahavara otsib tavalistest kataloogidest teatud laienditega faile, mis võivad sisaldada väärtuslikku teavet. Sihikule võetakse ka sõnumsiderakendusi ja muid suhtlusplatvorme.

Kogutud andmed võivad sisaldada Telegrami faile, salvestatud brauseriparoole ja pahavara uuemates variantides Discordi autentimismärke. Pärast andmete kogumise etapi lõpetamist jäädvustab BoryptGrab ohvri töölauast ekraanipildi ja koostab üldise süsteemiteabe nakatunud masina kohta. Kõik kogutud andmed tihendatakse seejärel arhiivi ja edastatakse ründajate kontrollitavale serverile.

TunnesshClient Backdoor: kaugjuhtimine ja liiklustunnelite loomine

Mõned BoryptGrabi versioonid kasutavad täiendavat pahatahtlikku tööriista nimega TunnesshClient, kuigi see funktsioon pole igas variandis olemas. TunnesshClient on Pythonil põhinev tagauks, mis pakub ründajatele käskude kaugkäivitamise võimalusi.

Selle tagaukse kaudu saavad küberkurjategijad nakatunud süsteemile otse käske anda. Tööriist võimaldab ka võrguliikluse edastamist SSH-pöördühenduse kaudu, mis võimaldab ründajatel suunata internetitegevust ohustatud seadme kaudu. Seda funktsiooni saab kasutada pahatahtlike toimingute varjamiseks, edasiste rünnakute läbiviimiseks või pikaajalise püsivuse säilitamiseks ohvri võrgus.

BoryptGrabi nakkuse tagajärjed

Edukas BoryptGrabi varastamine võib ohvritele kaasa tuua tõsiseid tagajärgi. Varastatud teave sisaldab sageli volitusi, isikuandmeid ja krüptovaluuta rahakoti andmeid, mida küberkurjategijad võivad kohe ära kasutada.

Sellise rünnaku tavaliste tagajärgede hulka kuuluvad:

  • Varastatud krüptovaluutast või kahjustatud finantskontodest tulenevad rahalised kahjud
  • Identiteedivargus lekkinud isiku- või autentimisandmete tõttu
  • Kaaperdatud veebikontod, näiteks e-post, sotsiaalmeedia või sõnumsideplatvormid
  • Teisesed nakkused levivad täiendavate pahavara komponentide kaudu

Arvestades neid riske, on pahavara viivitamatu eemaldamine nakatunud seadmetest edasise kahju piiramiseks hädavajalik.

Nakkusvektor: pahatahtlikud GitHubi lehed ja võltsitud tarkvara allalaadimised

BoryptGrabi levitamisstrateegia tugineb suuresti sotsiaalsele manipuleerimisele ja usaldusväärsete arendusplatvormide manipuleerimisele. Küberkurjategijad loovad avalikke GitHubi repositooriume, mis näivad majutavat seaduslikke tarkvaraprojekte. Need repositooriumid sisaldavad sageli dokumentatsiooni, faile ja kirjeldusi, mis on loodud autentsete tööriistade jäljendamiseks.

Nähtavuse maksimeerimiseks kasutavad ründajad otsingumootorite optimeerimise tehnikaid, et oma pahatahtlikke repositooriume ja GitHubi lehti otsingutulemustes kõrgemale tõsta. Seetõttu võivad kasutajad, kes otsivad tarkvarautiliite, kräkitud programme või mängutööriistu, need pahatahtlikud lehed otsingutulemuste ülaosas kohata.

Kui repositoorium avatakse, suunatakse kasutajad tavaliselt professionaalselt kujundatud veebisaidile, mis jäljendab autentset tarkvara allalaadimislehte. Need lehed reklaamivad sageli mängupettusi, kräkitud programme, FPS-i võimendajaid või utiliite, mis väidavad, et muudavad või laadivad alla rakendusi nagu Filmora või Voicemod.

Lõppkokkuvõttes pakub sait ZIP-arhiivi, mis teeskleb tarkvarainstalleri sisaldavat faili. Kui arhiiv alla laaditakse ja lisatud failid käivitatakse, aktiveeritakse pahatahtlik fail ja algab BoryptGrabi nakatumisprotsess.

Trendikas

Enim vaadatud

Laadimine...