הצעת הנחה מרובה רישיונות
מסד נתונים של איומים גונבים BoryptGrab Stealer

BoryptGrab Stealer

עד Mezo ב-גונבים, איום מתמשך מתקדם (APT)
לתרגם ל:

BoryptGrab היא תוכנה זדונית מתוחכמת לגניבת מידע, שנועדה לאסוף נתונים רגישים ממערכות פגועות. האיום מתפשט בעיקר דרך מאגרי GitHub הונאה ודפי הורדה מטעים המקדמים כלי תוכנה חינמיים. דפים זדוניים אלה מעוצבים כך שייראו לגיטימיים, מה שמגדיל את הסבירות שמשתמשים תמימים יורידו וירצו את הקבצים הנגועים.

בשרשראות תקיפה מסוימות, BoryptGrab מספק גם רכיב זדוני נוסף המכונה TunnesshClient, דלת אחורית המאפשרת גישה מרחוק וניצול נוסף של המכשיר הנגוע. לאחר זיהויו במערכת, יש להסיר באופן מיידי BoryptGrab או כל איום קשור כדי למנוע גניבת נתונים נוספת או פגיעה במערכת.

טכניקות התחמקות והסלמת זכויות יתר

לפני שהוא מפעיל את המטען העיקרי שלו, BoryptGrab מבצע מספר בדיקות שנועדו להתחמק מחוקרי אבטחה ומסביבות ניתוח אוטומטיות. הנוזקה בודקת קבצי מערכת והגדרות תצורה כדי לקבוע אם היא פועלת בתוך מכונה וירטואלית. סביבות כאלה משמשות בדרך כלל אנליסטים של אבטחה, וגילוי שלהן מאפשר לנוזקה לשנות את התנהגותה או לעצור את הביצוע.

בנוסף לגילוי מכונות וירטואליות, התוכנה הזדונית סורקת תהליכים פעילים כדי לזהות כלי ניתוח או ניפוי שגיאות ידועים. אם כלים אלה מזוהים, הפעילות הזדונית עשויה להיות מדוכאת כדי למנוע חשיפה. שלב חשוב נוסף בתהליך ההדבקה כרוך בניסיונות לקבל הרשאות ניהול, המאפשרות לתוכנה הזדונית לגשת לאזורי מערכת מוגנים ולחלץ מגוון רחב יותר של מידע רגיש.

יכולות איסוף נתוני דפדפן

מטרה עיקרית של BoryptGrab היא איסוף מידע רגיש המאוחסן בדפדפני אינטרנט. הנוזקה מכוונת לדפדפנים רבים הנפוצים, כולל Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi ו-Yandex Browser.

סוגי המידע המופקים מדפדפנים אלה כוללים בדרך כלל פרטי התחברות, נתוני מילוי אוטומטי, היסטוריית גלישה ונתונים אישיים מאוחסנים אחרים. כדי לסייע בתהליך זה, BoryptGrab מוריד כלי ייעודי מבוסס Chromium המאפשר חילוץ יעיל של נתוני דפדפן. זה מגדיל משמעותית את כמות המידע שניתן לגנוב ממערכת פרוצה.

ארנקי קריפטו תחת מתקפה

נכסי מטבעות קריפטוגרפיים הם מטרה מרכזית נוספת של BoryptGrab. הנוזקה מחפשת נתונים המאוחסנים באופן מקומי הקשורים לארנקי מטבעות קריפטוגרפיים למחשבים שולחניים ותוספי דפדפן הקשורים לניהול נכסים דיגיטליים. על ידי חילוץ נתוני ארנק, תוקפים עשויים לקבל את היכולת לגשת או להעביר כספים המאוחסנים.

התוכנה הזדונית מכוונת ספציפית למגוון רחב של יישומי ארנק ושירותים קשורים, כולל:

  • ארנק ארמורי
  • אָטוֹמִי
  • אטומידקקס
  • בינאנס
  • ליבת ביטקוין
  • ביטפיי
  • בלוקסטרים גרין
  • ארנק צ'יה
  • קוינומי
  • השתתפות עצמית
  • דדלוס מיינט
  • ליבת דאש
  • דוגקוין
  • אלקטרונים קאש
  • אלקטרום
  • אלקטרום לטק
  • את'ריום
  • סֵפֶר שֵׁמוֹת
  • גרין אדרס
  • גוארדה
  • ג'קס שולחני
  • ארנק קומודו
  • לדג'ר לייב
  • ארנק לדג'ר
  • ליבת לייטקוין
  • שולחן עבודה של MEW
  • מולטידוג
  • ארנק MyEther
  • ארנק NOW
  • עורב קור
  • סטייקקוב
  • סוויטת טרזור
  • ארנק וואסאבי

נוכחותה של רשימה כה נרחבת מדגישה את המיקוד החזק של התוכנה הזדונית בגניבה פיננסית.

איסוף נתונים מורחבים וחילוץ נתונים

מעבר לדפדפנים וארנקי מטבעות קריפטוגרפיים, BoryptGrab אוספת נתונים נוספים מהמערכת הנגועה. הנוזקה מחפשת בספריות נפוצות קבצים עם סיומות ספציפיות שעשויות להכיל מידע בעל ערך. גם יישומי העברת הודעות ופלטפורמות תקשורת אחרות מכוונות.

הנתונים שנאספו עשויים לכלול קבצי טלגרם, סיסמאות דפדפן מאוחסנות, ובווריאציות חדשות יותר של הנוזקה, אסימוני אימות של Discord. לאחר השלמת שלב איסוף הנתונים, BoryptGrab מצלם צילום מסך של שולחן העבודה של הקורבן ומקבץ מידע מערכת כללי על המכונה שנפרצה. כל הנתונים שנאספו נדחסים לאחר מכן לארכיון ומועברים לשרת הנשלט על ידי התוקפים.

דלת אחורית של TunnesshClient: שליטה מרחוק ומנהור תעבורה

גרסאות מסוימות של BoryptGrab פורסות כלי זדוני נוסף המכונה TunneshClient, אם כי תכונה זו אינה קיימת בכל גרסה. TunneshClient היא דלת אחורית מבוססת פייתון המספקת לתוקפים יכולות ביצוע פקודות מרחוק.

דרך דלת אחורית זו, פושעי סייבר יכולים להוציא פקודות ישירות למערכת הנגועה. הכלי גם מאפשר העברת תעבורת רשת דרך חיבור SSH הפוך, מה שמאפשר לתוקפים לנתב פעילות אינטרנט דרך המכשיר שנפרץ. פונקציונליות זו עשויה לשמש להסתרת פעולות זדוניות, ביצוע התקפות נוספות או שמירה על קיימות ארוכת טווח ברשת של הקורבן.

השלכות של זיהום BoryptGrab

פריצה מוצלחת ל-BoryptGrab עלולה להוביל לתוצאות חמורות עבור הקורבנות. המידע הגנוב כולל לעתים קרובות אישורים, נתונים אישיים ופרטי ארנק קריפטו, אשר עלולים להיות מנוצלים באופן מיידי על ידי פושעי סייבר.

ההשפעות הנפוצות של מתקפה כזו כוללות:

  • הפסדים כספיים כתוצאה מגינוי קריפטוגרפי או מחשבונות פיננסיים שנפגעו
  • גניבת זהות עקב דליפת מידע אישי או מידע אימות
  • חשבונות מקוונים שנפרצו כגון דוא"ל, מדיה חברתית או פלטפורמות העברת הודעות
  • הדבקות משניות המועברות דרך רכיבי תוכנה זדוניים נוספים

בהינתן סיכונים אלה, הסרה מיידית של תוכנות זדוניות ממכשירים נגועים חיונית כדי להגביל נזק נוסף.

וקטור זיהום: דפי GitHub זדוניים והורדות תוכנה מזויפות

אסטרטגיית ההפצה העומדת מאחורי BoryptGrab מסתמכת במידה רבה על הנדסה חברתית ומניפולציה של פלטפורמות פיתוח מהימנות. פושעי סייבר יוצרים מאגרי GitHub ציבוריים שנראים כמארחים פרויקטי תוכנה לגיטימיים. מאגרים אלה מכילים לעתים קרובות תיעוד, קבצים ותיאורים שנועדו לחקות כלים אותנטיים.

כדי למקסם את הנראות, תוקפים משתמשים בטכניקות אופטימיזציה למנועי חיפוש כדי לדחוף את המאגרים הזדוניים שלהם ואת דפי GitHub גבוה יותר בתוצאות החיפוש. לכן, משתמשים המחפשים כלי תוכנה, תוכנות פרוצים או כלי משחק עלולים להיתקל בדפים זדוניים אלה קרוב לראש תוצאות החיפוש.

לאחר פתיחת מאגר נתונים, משתמשים בדרך כלל מופנים לאתר אינטרנט מעוצב באופן מקצועי המחקה דף הורדת תוכנה אותנטי. דפים אלה מפרסמים לעתים קרובות צ'יטים למשחקים, תוכנות פרוצים, מגבירי FPS או כלי עזר הטוענים שהם משנים או מורידים יישומים כמו Filmora או Voicemod.

האתר מספק בסופו של דבר ארכיון ZIP שמתחזה לקובץ מתקין התוכנה. כאשר הארכיון מוריד והקבצים הכלולים בו מופעלים, המטען הזדוני מופעל ומתחיל תהליך ההדבקה של BoryptGrab.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
21,503
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...