قیمت چند مجوز تخفیف
پایگاه داده تهدید دزدان دزدگیر BoryptGrab

دزدگیر BoryptGrab

تا Mezo در دزدان, تهدید مداوم پیشرفته (APT)
ترجمه به:

BoryptGrab یک بدافزار پیشرفته‌ی سرقت اطلاعات است که برای جمع‌آوری داده‌های حساس از سیستم‌های آسیب‌دیده طراحی شده است. این تهدید در درجه اول از طریق مخازن جعلی GitHub و صفحات دانلود فریبنده که ابزارهای نرم‌افزاری رایگان را تبلیغ می‌کنند، گسترش می‌یابد. این صفحات مخرب طوری طراحی شده‌اند که قانونی به نظر برسند و احتمال اینکه کاربران ناآگاه فایل‌های آلوده را دانلود و اجرا کنند، افزایش می‌یابد.

در برخی از زنجیره‌های حمله، BoryptGrab همچنین یک مؤلفه مخرب اضافی به نام TunnesshClient را ارائه می‌دهد، یک درب پشتی که امکان دسترسی از راه دور و سوءاستفاده بیشتر از دستگاه آلوده را فراهم می‌کند. پس از شناسایی در یک سیستم، BoryptGrab یا هرگونه تهدید مرتبط باید فوراً حذف شود تا از سرقت اطلاعات بیشتر یا به خطر افتادن سیستم جلوگیری شود.

تکنیک‌های فرار و افزایش امتیاز

قبل از شروع بارگذاری اصلی خود، BoryptGrab چندین بررسی انجام می‌دهد که برای فرار از محققان امنیتی و محیط‌های تجزیه و تحلیل خودکار طراحی شده‌اند. این بدافزار فایل‌های سیستم و تنظیمات پیکربندی را بررسی می‌کند تا مشخص کند که آیا در یک ماشین مجازی اجرا می‌شود یا خیر. چنین محیط‌هایی معمولاً توسط تحلیلگران امنیتی استفاده می‌شوند و تشخیص آنها به بدافزار اجازه می‌دهد تا رفتار خود را تغییر دهد یا اجرای آن را متوقف کند.

علاوه بر تشخیص ماشین مجازی، این بدافزار فرآیندهای فعال را اسکن می‌کند تا ابزارهای تحلیل یا اشکال‌زدایی شناخته‌شده را شناسایی کند. اگر این ابزارها شناسایی شوند، ممکن است فعالیت مخرب برای جلوگیری از افشای اطلاعات سرکوب شود. مرحله مهم دیگر در فرآیند آلودگی شامل تلاش برای به دست آوردن امتیازات مدیریتی است که به بدافزار اجازه می‌دهد به نواحی محافظت‌شده سیستم دسترسی پیدا کند و طیف وسیع‌تری از اطلاعات حساس را استخراج کند.

قابلیت‌های جمع‌آوری داده‌های مرورگر

هدف اصلی BoryptGrab جمع‌آوری اطلاعات حساس ذخیره شده در مرورگرهای وب است. این بدافزار مرورگرهای پرکاربرد متعددی از جمله Brave Browser، CentBrowser، Chromium، Google Chrome، Microsoft Edge، Mozilla Firefox، Opera، Vivaldi و Yandex Browser را هدف قرار می‌دهد.

انواع اطلاعات استخراج‌شده از این مرورگرها معمولاً شامل اطلاعات ورود به سیستم، داده‌های تکمیل خودکار، تاریخچه مرور و سایر داده‌های شخصی ذخیره‌شده است. برای کمک به این فرآیند، BoryptGrab یک ابزار تخصصی مبتنی بر کرومیوم را دانلود می‌کند که امکان استخراج کارآمد داده‌های مرورگر را فراهم می‌کند. این امر حجم اطلاعاتی را که می‌توان از یک سیستم آسیب‌دیده سرقت کرد، به میزان قابل توجهی افزایش می‌دهد.

کیف پول‌های ارز دیجیتال تحت حمله

دارایی‌های ارز دیجیتال یکی دیگر از اهداف اصلی BoryptGrab هستند. این بدافزار به دنبال داده‌های ذخیره شده محلی مربوط به کیف پول‌های ارز دیجیتال دسکتاپ و افزونه‌های مرورگر مرتبط با مدیریت دارایی‌های دیجیتال می‌گردد. با استخراج داده‌های کیف پول، مهاجمان ممکن است توانایی دسترسی یا انتقال وجوه ذخیره شده را به دست آورند.

این بدافزار به طور خاص طیف گسترده‌ای از برنامه‌های کیف پول و خدمات مرتبط را هدف قرار می‌دهد، از جمله:

  • کیف پول آرموری
  • اتمی
  • اتمیک دکس
  • بایننس
  • هسته بیت کوین
  • بیت پی
  • بلاک‌استریم گرین
  • کیف پول چیا
  • کوینومی
  • کوپی
  • شبکه اصلی ددالوس
  • هسته دش
  • دوج کوین
  • الکترون کش
  • الکتروم
  • الکتروم ال تی سی
  • اتریوم
  • خروج
  • گرین‌آدرس
  • گواردا
  • دسکتاپ جکس
  • کیف پول کومودو
  • لجر لایو
  • کیف پول لجر
  • هسته لایت کوین
  • دسکتاپ MEW
  • مولتی دوج
  • مای اتر والت
  • کیف پول NOW
  • هسته ریون
  • استیک‌کیوب
  • سوئیت ترزور
  • کیف پول واسابی

وجود چنین فهرست گسترده‌ای، تمرکز قوی این بدافزار بر سرقت مالی را برجسته می‌کند.

جمع‌آوری و استخراج گسترده داده‌ها

فراتر از مرورگرها و کیف پول‌های ارز دیجیتال، BoryptGrab داده‌های اضافی را از سیستم آلوده جمع‌آوری می‌کند. این بدافزار دایرکتوری‌های رایج را برای یافتن فایل‌هایی با پسوندهای خاص که ممکن است حاوی اطلاعات ارزشمندی باشند، جستجو می‌کند. برنامه‌های پیام‌رسان و سایر پلتفرم‌های ارتباطی نیز هدف قرار می‌گیرند.

داده‌های جمع‌آوری‌شده ممکن است شامل فایل‌های تلگرام، رمزهای عبور ذخیره‌شده مرورگر و در انواع جدیدتر این بدافزار، توکن‌های احراز هویت Discord باشد. پس از تکمیل مرحله جمع‌آوری داده‌ها، BoryptGrab از دسکتاپ قربانی اسکرین‌شات می‌گیرد و اطلاعات کلی سیستم در مورد دستگاه آسیب‌دیده را گردآوری می‌کند. سپس تمام داده‌های جمع‌آوری‌شده در یک بایگانی فشرده شده و به سروری که توسط مهاجمان کنترل می‌شود، منتقل می‌شوند.

درب پشتی TunnesshClient: کنترل از راه دور و تونل سازی ترافیک

برخی از نسخه‌های BoryptGrab یک ابزار مخرب اضافی به نام TunnesshClient را پیاده‌سازی می‌کنند، اگرچه این ویژگی در همه نسخه‌ها وجود ندارد. TunnesshClient یک در پشتی مبتنی بر پایتون است که قابلیت‌های اجرای دستورات از راه دور را برای مهاجمان فراهم می‌کند.

از طریق این درِ پشتی، مجرمان سایبری می‌توانند دستورات را مستقیماً به سیستم آلوده صادر کنند. این ابزار همچنین امکان ارسال ترافیک شبکه از طریق اتصال SSH معکوس را فراهم می‌کند و به مهاجمان اجازه می‌دهد تا فعالیت اینترنتی را از طریق دستگاه آسیب‌دیده هدایت کنند. این قابلیت ممکن است برای پنهان کردن عملیات مخرب، انجام حملات بیشتر یا حفظ ماندگاری طولانی مدت در شبکه قربانی استفاده شود.

پیامدهای عفونت BoryptGrab

یک نفوذ موفق توسط BoryptGrab می‌تواند عواقب شدیدی برای قربانیان داشته باشد. اطلاعات سرقت شده اغلب شامل اطلاعات احراز هویت، داده‌های شخصی و جزئیات کیف پول ارز دیجیتال است که ممکن است بلافاصله توسط مجرمان سایبری مورد سوء استفاده قرار گیرد.

تأثیرات رایج چنین حمله‌ای عبارتند از:

  • ضررهای مالی ناشی از سرقت ارز دیجیتال یا حساب‌های مالی به خطر افتاده
  • سرقت هویت به دلیل نشت اطلاعات شخصی یا احراز هویت
  • حساب‌های کاربری آنلاین ربوده شده مانند ایمیل، رسانه‌های اجتماعی یا پلتفرم‌های پیام‌رسان
  • آلودگی‌های ثانویه از طریق اجزای بدافزاری اضافی

با توجه به این خطرات، حذف فوری بدافزار از دستگاه‌های آلوده برای محدود کردن آسیب بیشتر ضروری است.

مسیر آلودگی: صفحات مخرب GitHub و دانلودهای نرم‌افزار جعلی

استراتژی توزیع پشت BoryptGrab به شدت به مهندسی اجتماعی و دستکاری پلتفرم‌های توسعه‌ی مورد اعتماد متکی است. مجرمان سایبری مخازن عمومی GitHub را ایجاد می‌کنند که به نظر می‌رسد میزبان پروژه‌های نرم‌افزاری قانونی هستند. این مخازن اغلب حاوی اسناد، فایل‌ها و توضیحاتی هستند که برای تقلید از ابزارهای معتبر طراحی شده‌اند.

برای به حداکثر رساندن دیده شدن، مهاجمان از تکنیک‌های بهینه‌سازی موتور جستجو استفاده می‌کنند تا مخازن مخرب و صفحات GitHub خود را در نتایج جستجو بالاتر قرار دهند. بنابراین کاربرانی که به دنبال ابزارهای نرم‌افزاری، برنامه‌های کرک‌شده یا ابزارهای بازی هستند، ممکن است با این صفحات مخرب در بالای نتایج جستجو مواجه شوند.

پس از باز شدن یک مخزن، کاربران معمولاً به یک وب‌سایت حرفه‌ای طراحی‌شده هدایت می‌شوند که از یک صفحه دانلود نرم‌افزار معتبر تقلید می‌کند. این صفحات اغلب تقلب‌های بازی، برنامه‌های کرک‌شده، افزایش‌دهنده‌های FPS یا ابزارهایی را تبلیغ می‌کنند که ادعا می‌کنند برنامه‌هایی مانند Filmora یا Voicemod را تغییر داده یا دانلود می‌کنند.

این سایت در نهایت یک فایل فشرده (ZIP) ارائه می‌دهد که وانمود می‌کند حاوی نصب‌کننده‌ی نرم‌افزار است. هنگامی که این فایل فشرده دانلود و فایل‌های موجود در آن اجرا می‌شوند، بدافزار فعال شده و فرآیند آلودگی BoryptGrab آغاز می‌شود.

پرطرفدار

Critical-service.cc

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
مرور اینترنت نیاز به هوشیاری مداوم دارد. مجرمان سایبری به طور مداوم تکنیک‌های فریبنده‌ای را برای فریب کاربران و به خطر انداختن امنیت خودشان توسعه می‌دهند. وب‌سایت‌های جعلی، به ویژه، اغلب به...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
21,503
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...