Monen lisenssin alennustarjous
Uhatietokanta Varastajat BoryptGrab-varas

BoryptGrab-varas

Vuonna Mezo vuonna Varastajat, Advanced Persistent Threat (APT)
Käännä:

BoryptGrab on hienostunut tietoja varastava haittaohjelma, joka on suunniteltu keräämään arkaluonteisia tietoja vaarantuneista järjestelmistä. Uhka leviää pääasiassa vilpillisten GitHub-arkistojen ja harhaanjohtavien lataussivujen kautta, jotka mainostavat ilmaisia ohjelmistotyökaluja. Nämä haitalliset sivut on suunniteltu näyttämään laillisilta, mikä lisää todennäköisyyttä, että tietämättömät käyttäjät lataavat ja suorittavat tartunnan saaneita tiedostoja.

Tietyissä hyökkäysketjuissa BoryptGrab toimittaa myös ylimääräisen haitallisen komponentin nimeltä TunnesshClient, takaportin, joka mahdollistaa tartunnan saaneen laitteen etäkäytön ja sen hyödyntämisen. Kun BoryptGrab tai siihen liittyvä uhka havaitaan järjestelmässä, se on poistettava välittömästi lisätietojen varastamisen tai järjestelmän vaarantumisen estämiseksi.

Väistötekniikat ja etuoikeuksien eskalointi

Ennen päähyötyohjelmansa käynnistämistä BoryptGrab suorittaa useita tarkistuksia, joiden tarkoituksena on välttää tietoturvatutkijoiden ja automatisoitujen analyysiympäristöjen toimintaa. Haittaohjelma tarkastaa järjestelmätiedostot ja asetukset selvittääkseen, toimiiko se virtuaalikoneen sisällä. Tällaisia ympäristöjä käyttävät yleisesti tietoturva-analyytikot, ja niiden havaitseminen mahdollistaa haittaohjelman toiminnan muuttamisen tai suorituksen pysäyttämisen.

Virtuaalikoneiden havaitsemisen lisäksi haittaohjelma skannaa aktiivisia prosesseja tunnistaakseen tunnettuja analyysi- tai virheenkorjaustyökaluja. Jos nämä työkalut havaitaan, haitallinen toiminta voidaan estää altistumisen välttämiseksi. Toinen tärkeä vaihe tartuntaprosessissa on yritykset saada järjestelmänvalvojan oikeudet, jolloin haittaohjelma voi käyttää suojattuja järjestelmäalueita ja poimia laajemman valikoiman arkaluonteisia tietoja.

Selaimen tiedonkeruuominaisuudet

BoryptGrabin ensisijainen tavoite on kerätä verkkoselaimiin tallennettuja arkaluonteisia tietoja. Haittaohjelma kohdistuu lukuisiin laajalti käytettyihin selaimiin, kuten Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi ja Yandex Browser.

Näistä selaimista poimittuja tietoja ovat tyypillisesti kirjautumistiedot, automaattisen täytön tiedot, selaushistoria ja muut tallennetut henkilötiedot. Tämän prosessin helpottamiseksi BoryptGrab lataa erikoistuneen Chromium-pohjaisen työkalun, joka mahdollistaa selaintietojen tehokkaan poiminnan. Tämä lisää merkittävästi vaarantuneesta järjestelmästä varastettavien tietojen määrää.

Kryptovaluuttalompakot hyökkäyksen kohteena

Kryptovaluuttavarat ovat BoryptGrabin toinen tärkeä kohde. Haittaohjelma etsii paikallisesti tallennettuja tietoja, jotka liittyvät kryptovaluuttalompakoihin tietokoneilla ja digitaalisen omaisuuden hallintaan liittyviin selainlaajennuksiin. Lompakon tiedot purkamalla hyökkääjät voivat saada pääsyn tallennettuihin varoihin tai siirtää niitä.

Haittaohjelma kohdistuu erityisesti laajaan valikoimaan lompakkosovelluksia ja niihin liittyviä palveluita, mukaan lukien:

  • Asevaraston lompakko
  • Atomi
  • AtomicDEX
  • Binance
  • Bitcoin-ydin
  • BitPay
  • Blockstream Green
  • Chia-lompakko
  • Coinomi
  • Osamaksu
  • Daedalus-pääverkko
  • Dash-ydin
  • Dogecoin
  • Elektroninen käteinen
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Exodus
  • GreenAddress
  • Guarda
  • Jaxx-työpöytä
  • Komodo-lompakko
  • Ledger Live
  • Ledger-lompakko
  • Litecoin-ydin
  • MEW-työpöytä
  • MultiDoge
  • MyEtherWallet
  • NOW-lompakko
  • Raven Core
  • StakeCube
  • Trezor-sviitti
  • Wasabi-lompakko

Näin laajan listan olemassaolo korostaa haittaohjelman vahvaa keskittymistä talousvarkauksiin.

Laajennettu tiedonkeruu ja -purkaus

Selainten ja kryptovaluuttalompakoiden lisäksi BoryptGrab kerää tartunnan saaneesta järjestelmästä lisätietoja. Haittaohjelma etsii yleisistä hakemistoista tiedostoja, joilla on tietyt tiedostopäätteet ja jotka saattavat sisältää arvokasta tietoa. Myös viestisovellukset ja muut viestintäalustat ovat kohteena.

Kerättyihin tietoihin voi sisältyä Telegram-tiedostoja, tallennettuja selainsalasanoja ja haittaohjelman uudemmissa muunnelmissa Discord-todennustunnuksia. Tiedonkeruuvaiheen päätyttyä BoryptGrab ottaa kuvakaappauksen uhrin työpöydältä ja kokoaa yleisiä järjestelmätietoja tartunnan saaneesta koneesta. Kaikki kerätyt tiedot pakataan sitten arkistoon ja lähetetään hyökkääjien hallitsemalle palvelimelle.

TunnesshClient Backdoor: Etäohjaus ja liikenteen tunnelointi

Joissakin BoryptGrab-versioissa on käytössä haitallinen työkalu nimeltä TunnesshClient, vaikka tätä ominaisuutta ei olekaan kaikissa versioissa. TunnesshClient on Python-pohjainen takaovi, joka tarjoaa hyökkääjille mahdollisuuden suorittaa komentoja etänä.

Tämän takaoven kautta kyberrikolliset voivat antaa komentoja suoraan tartunnan saaneelle järjestelmälle. Työkalu mahdollistaa myös verkkoliikenteen edelleenlähettämisen käänteisen SSH-yhteyden kautta, jolloin hyökkääjät voivat reitittää internet-toimintaa vaarantuneen laitteen kautta. Tätä toimintoa voidaan käyttää haitallisten toimintojen piilottamiseen, lisähyökkäysten suorittamiseen tai pitkäaikaisen pysyvyyden ylläpitämiseen uhrin verkossa.

BoryptGrab-tartunnan seuraukset

Onnistunut BoryptGrab-hyökkäys voi johtaa vakaviin seurauksiin uhreille. Varastetut tiedot sisältävät usein tunnistetietoja, henkilötietoja ja kryptovaluuttalompakon tietoja, joita kyberrikolliset voivat välittömästi hyödyntää.

Tällaisen hyökkäyksen yleisiä vaikutuksia ovat:

  • Kryptovaluutan varastuksesta tai vaarantuneista taloustileistä aiheutuneet taloudelliset tappiot
  • Vuodettujen henkilö- tai todennustietojen vuoksi tapahtunut identiteettivarkaus
  • Kaapatut verkkotilit, kuten sähköposti, sosiaalinen media tai viestialustat
  • Toissijaiset tartunnat haittaohjelmakomponenttien kautta

Näiden riskien vuoksi haittaohjelmien välitön poistaminen tartunnan saaneista laitteista on välttämätöntä lisävahinkojen rajoittamiseksi.

Tartuntavektori: Haitalliset GitHub-sivut ja väärennetyt ohjelmistolataukset

BoryptGrabin jakelustrategia perustuu vahvasti sosiaaliseen manipulointiin ja luotettavien kehitysalustojen manipulointiin. Kyberrikolliset luovat julkisia GitHub-arkistoja, jotka näyttävät isännöivän laillisia ohjelmistoprojekteja. Nämä arkistoja sisältävät usein dokumentaatiota, tiedostoja ja kuvauksia, jotka on suunniteltu jäljittelemään aitoja työkaluja.

Näkyvyyden maksimoimiseksi hyökkääjät käyttävät hakukoneoptimointitekniikoita nostaakseen haitallisia repositorioitaan ja GitHub-sivujaan korkeammalle hakutuloksissa. Käyttäjät, jotka etsivät ohjelmistoapuohjelmia, krakattuja ohjelmia tai pelityökaluja, saattavat siksi kohdata nämä haitalliset sivut hakutulosten kärjessä.

Kun arkisto avataan, käyttäjät ohjataan yleensä ammattimaisesti suunnitellulle verkkosivustolle, joka jäljittelee aitoa ohjelmistojen lataussivua. Nämä sivut mainostavat usein pelihuijauksia, krakattuja ohjelmia, FPS-boostereita tai apuohjelmia, jotka väittävät muokkaavansa tai lataavansa sovelluksia, kuten Filmoraa tai Voicemodia.

Sivusto tarjoaa lopulta ZIP-arkiston, joka teeskentelee sisältävänsä ohjelmiston asennusohjelman. Kun arkisto ladataan ja sen mukana tulevat tiedostot suoritetaan, haitallinen hyötykuorma aktivoituu ja BoryptGrab-tartuntaprosessi alkaa.

Trendaavat

Eniten katsottu

Ladataan...